QNAP предупреждает об уязвимостях в своих программных продуктах для NAS, включая QTS, QuTS hero, QuTScloud и myQNAPcloud, которые могут позволить злоумышленникам получить доступ к устройствам.
Тайваньский производитель устройств сетевого хранения данных (NAS) раскрыл 3 уязвимости, что могут привести к обходу аутентификации, инъекции команд и SQL-инъекции.
В то время как последние два требуют аутентификации злоумышленников на целевой системе, что значительно снижает риск, первый (CVE-2024-21899) может быть выполнен удаленно без аутентификации и отмечен как «низкий уровень сложности».
Три исправленных недостатка следующие:
- CVE-2024-21899: Неправильные механизмы аутентификации позволяют неавторизованным пользователям нарушить безопасность системы через сеть (удаленно).
- CVE-2024-21900: Эта уязвимость может позволить аутентифицированным пользователям выполнять произвольные команды в системе через сеть, что может привести к несанкционированному доступу или управлению системой.
- CVE-2024-21901: Эта уязвимость может позволить аутентифицированным администраторам внедрить вредоносный SQL-код через сеть, потенциально нарушая целостность базы данных и манипулируя ее содержимым.
Эти уязвимости затрагивают различные версии операционных систем QNAP включая QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x и сервис myQNAPcloud 1.0.x.
Пользователям рекомендуется обновиться до следующих версий, в которых устранены три недостатка:
- QTS 5.1.3.2578 build 20231110 и более поздние версии
- QTS 4.5.4.2627 build 20231225 и более поздние версии
- QuTS hero h5.1.3.2578 build 20231110 и более поздние версии
- QuTS hero h4.5.4.2626 build 20231225 и более поздние версии
- QuTScloud c5.1.5.2651 и более поздние версии
- myQNAPcloud 1.0.52 (2023/11/24) и более поздние версии
Для QTS, QuTS hero и QuTScloud пользователи должны войти в систему как администраторы, перейти в «Панель управления > Система > Обновление прошивки» и нажать «Проверить наличие обновления», чтобы запустить процесс автоматической установки.
Чтобы обновить myQNAPcloud, войдите в систему с правами администратора, откройте «App Center», нажмите на поле поиска и введите «myQNAPcloud» ENTER . Обновление должно появиться в результатах. Нажмите на кнопку «Обновить», чтобы начать обновление.
На устройствах NAS часто хранятся большие объемы ценных данных для предприятий и частных лиц, включая конфиденциальную личную информацию, интеллектуальную собственность и критически важные бизнес-данные. В то же время они не подвергаются тщательному контролю, постоянно подключены к Интернету и могут использовать устаревшую прошивку.
По всем этим причинам устройства NAS часто становятся мишенью для кражи данных и вымогательства.
Лучший совет для владельцев NAS – всегда обновлять программное обеспечение, а еще лучше – не выставлять эти устройства в Интернет.
Комментарии (0)