QNAP Systems je objavio bezbjednosne savjete za dvije kritične ranjivosti ubrizgavanja komandi koje utiču na više verzija QTS operativnog sistema i aplikacija na njegovim mrežnim uređajima za skladištenje podataka (NAS).
Prva mana se prati kao CVE-2023-23368 i ima kritičnu ocjenu ozbiljnosti od 9,8 od 10. To je ranjivost ubrizgavanja komande koju udaljeni napadač može iskoristiti za izvršavanje komandi putem mreže.
Verzije QTS-a na koje utiče sigurnosni problem su QTS 5.0.x i 4.5.x, QuTS hero h5.0.x i h4.5.x i QuTScloud c5.0.1.
Popravke su dostupne u sljedećim izdanjima:
- QTS 5.0.1.2376 verzija 20230421 i novije verzije
- QTS 4.5.4.2374 build 20230416 i novije verzije
- QuTS hero h5.0.1.2376 build 20230421 i noviji
- QuTS hero h4.5.4.2374 build 20230417 i novije verzije
- QuTScloud c5.0.1.2374 i novije verzije
Druga ranjivost je identifikovana kao CVE-2023-23369 i ima nižu ocjenu ozbiljnosti od 9,0 i takođe bi je mogao iskoristiti udaljeni napadač na isti način kao i prethodnu.
Pogođene verzije QTS-a uključuju 5.1.x, 4.3.6, 4.3.4, 4.3.3 i 4.2.x, Multimedijalnu konzolu 2.1.x i 1.4.x i dodatak Media Streaming 500.1.x i 500.0.x.
Popravke su dostupne u:
- QTS 5.1.0.2399 verzija 20230515 i novije verzije
- QTS 4.3.6.2441 verzija 20230621 i novije verzije
- QTS 4.3.4.2451 verzija 20230621 i novije verzije
- QTS 4.3.3.2420 verzija 20230621 i novije verzije
- QTS 4.2.6 build 20230621 i novije verzije
- Multimedijalna konzola 2.1.2 (2023/05/04) i novije verzije
- Multimedijalna konzola 1.4.8 (2023/05/05) i novije verzije
- Dodatak za prijenos medija 500.1.1.2 (2023/06/12) i noviji
- Dodatak Media Streaming 500.0.0.11 (2023/06/16) i noviji
Da ažuriraju QTS, QuTS hero ili QuTScloud, administratori se mogu prijaviti i otići na Kontrolna tabla > Sistem > Ažuriranje firmvera i kliknuti na “Provjeri ažuriranje” pod Live Update da preuzmu i instaliraju najnoviju verziju. Ažuriranja su takođe dostupna kao ručna preuzimanja sa QNAP-ove web stranice.
Ažuriranje Multimedijalne konzole moguće je traženjem instalacije u App Centru i klikom na dugme “Ažuriraj” (dostupno samo ako postoji novija verzija). Proces je sličan za ažuriranje dodatka Media Streaming, koji korisnici takođe mogu locirati pretražujući App Center.
Budući da se NAS uređaji obično koriste za pohranu podataka, nedostaci u izvršavanju naredbi mogu imati ozbiljan uticaj jer sajber kriminalci često traže nove mete za krađu i/ili šifriranje osjetljivih podataka. Napadači tada mogu tražiti otkupninu od žrtve kako ne bi procurili podaci ili da bi ih dešifrovali.
QNAP uređaji su u prošlosti bili meta napada velikih razmjera ransomware-a. Prije godinu dana, Deadbolt ransomware banda je iskoristila ranjivost nultog dana za šifriranje NAS uređaja izloženih na javnom internetu.
Uz to, QNAP korisnicima se savjetuje da što prije primjene dostupna sigurnosna ažuriranja.
Izvor: BleepingComputer