Site icon Kiber.ba

Višestruka QNAP ranjivost omogućava hakerima da otmu vaš NAS

Višestruka QNAP ranjivost omogućava hakerima da otmu vaš NAS-Kiber.ba

Višestruka QNAP ranjivost omogućava hakerima da otmu vaš NAS-Kiber.ba

QNAP je otkrio višestruke ranjivosti u svojim sistemima za skladištenje podataka povezanih s mrežom (NAS) , što bi moglo omogućiti hakerima da preuzmu kontrolu nad pogođenim uređajima.

Ranjivosti utiču na nekoliko verzija QNAP operativnih sistema i aplikacija, uključujući QTS, QuTS hero, QuT cloud i myQNAPcloud.

CVE detalji

CVE-2024-21899: Nepravilna ranjivost autentifikacija

Ova kritična mana bi mogla omogućiti neovlaštenim korisnicima da ugroze sigurnost sistema putem mreže.

Iskorištavanjem ove ranjivosti, napadači bi mogli zaobići mehanizme provjere autentičnosti kako bi dobili neovlašteni pristup uređaju.

CVE-2024-21900 : Ranjivost ubrizgavanja komande

Ova ranjivost omogućava autentifikovanim korisnicima da izvršavaju proizvoljno komande na sistemu preko mreže.

Ovo bi moglo omogućiti napadačima koji su već dobili početni pristup da povećaju svoje privilegije ili izvrše neovlaštene radnje na uređaju.

CVE-2024-21901 : Ranjivost SQL injekcije

Posebno zabrinjavajući problem za sistemske administratore je to što bi ova ranjivost SQL injekcije mogla omogućiti autentifikovanim administratorima da ubace zlonamjerni SQL kod u sistem.

To može dovesti do manipulacije podacima ili krađe, ugrožavajući sigurnost i integritet podataka pohranjenih na NAS-u.

CVE-2024-27124: Ranjivost ubrizgavanja OS komande

Ova ranjivost je mana ubrizgavanja komandi OS-a koja, ako se iskoristi, može omogućiti napadačima da izvršavaju proizvoljne komande preko mreže.

Takvo kršenje može dovesti do potpunog kompromitovanja sistema, krađe podataka ili infiltracije mreže. QNAP još nije objavio zakrpu za CVE-2024-27124. 

CVE-2024-32764: Nedostaje autentifikacija za kritičnu funkciju

CVE-2024-32764 je ozbiljna sigurnosna greška zbog propuštanja provjere provjere autentičnosti kritične funkcije.

Napadači bi mogli iskoristiti ovu ranjivost kako bi dobili neovlašteni pristup ovim funkcijama putem mreže bez potrebe za autentifikaciju, što bi potencijalno dovelo do neovlaštenih operacija i kontrole sistema.

QNAP trenutno radi na otklanjanju ove ranjivosti.

Korisnici bi trebali biti oprezni i ažurirati svoj NAS firmver kada se objavi sigurnosna zakrpa.

CVE-2024-32766 : Ranjivost ubrizgavanja OS komande

Slično kao CVE-2024-27124, CVE-2024-32766 je još jedna ranjivost ubrizgavanja komandi OS-a.

Omogućava napadačima da izvršavaju komande putem mreže, što bi moglo rezultovati neovlaštenim pristupom i kontrolom nad pogođenim NAS uređajima.

Kompanija je u procesu razvoja sigurnosne zakrpe.

Korisnici se ohrabruju da gledaju zvanične komunikacije od QNAP-a radio trenutnog ažuriranja.

Zahvaćeni proizvodi i fiksne verzije

QNAP je odmah riješio ove ranjivosti u sljedećim verzijama proizvoda:

QNAP poziva sve korisnike da ažuriraju svoje sisteme i aplikacije na najnovije verzije kako bi ublažili ove ranjivosti.

Redovna ažuriranja su ključna za održavanje sigurnosti vaših uređaja.

Ažuriranje vašeg QNAP uređaja

Da ažurirate svoj QNAP uređaj, slijedite ove korake:

  1. Prijavite se kao administrator : Pristupiti svom QTS, QuTS heroju ili QuTScloud sistemu.
  2. Idite na System Settings : Idite na Control Panel, zatim System i odaberite Firmware Update.
  3. Provjera ažuriranja : Pod Ažuriranjem uživo kliknite na ‘Provjeri ažuriranje’. Sistem će automatski preuzeti i instalirati najnoviju dostupnu nadogradnju.

Za ažuriranje myQNAPcloud:

  1. Pristup centru za aplikacije : Prijavite se i otvorite App Center.
  2. Potražite myQNAPcloud : Upišite “myQNAPcloud” u polje za pretragu i pritisnite ENTER.
  3. Ažuriraj : Kliknite na dugme Ažuriraj ako je dostupno i pratite uputstva.

Brz odgovor QNAP-a u otklanjanju ovih ranjivosti pokazuje njihovu posvećenost sigurnosti korisnika.

Korisnicima se savjetuje da se pridržavaju preporučenih sigurnosnih praksi i da ažuriraju svoje uređaje odmah kako bi se zaštitili od potencijalnih prijetnji.

Izvor:CybersecurityNews

Exit mobile version