Η
QNAP
Systems δημοσίευσε συμβουλές ασφαλείας για δύο κρίσιμα τρωτά σημεία έγχυσης εντολών που επηρεάζουν πολλαπλές εκδόσεις του λειτουργικού συστήματος QTS και εφαρμογές στις
συσκευές
αποθήκευσης που συνδέονται με το δίκτυο (NAS).
Το πρώτο ελάττωμα παρακολουθείται ως
CVE-2023-23368
και έχει βαθμολογία κρίσιμης σοβαρότητας 9,8 στα 10. Είναι μια ευπάθεια έγχυσης εντολών την οποία ένας απομακρυσμένος εισβολέας μπορεί να εκμεταλλευτεί για να εκτελέσει εντολές μέσω ενός δικτύου.
Οι εκδόσεις QTS που επηρεάζονται από το ζήτημα ασφαλείας είναι οι QTS 5.0.x και 4.5.x, QuTS hero h5.0.x και h4.5.x και QuTScloud c5.0.1.
Διορθώσεις είναι διαθέσιμες στις ακόλουθες εκδόσεις:
- QTS 5.0.1.2376 build 20230421 και μεταγενέστερη
- QTS 4.5.4.2374 build 20230416 και μεταγενέστερη
- QuTS hero h5.0.1.2376 build 20230421 και νεότερη έκδοση
- QuTS hero h4.5.4.2374 build 20230417 και μεταγενέστερη
- QuTScloud c5.0.1.2374 και νεότερη έκδοση
Η δεύτερη ευπάθεια προσδιορίζεται ως
CVE-2023-23369
και έχει χαμηλότερη βαθμολογία σοβαρότητας 9,0 και θα μπορούσε επίσης να αξιοποιηθεί από έναν απομακρυσμένο εισβολέα με το ίδιο αποτέλεσμα με τον προηγούμενο.
Οι εκδόσεις Impacted QTS περιλαμβάνουν 5.1.x, 4.3.6, 4.3.4, 4.3.3 και 4.2.x, Multimedia Console 2.1.x και 1.4.x και πρόσθετα Media Streaming 500.1.x και 500.0.x.
Οι διορθώσεις είναι διαθέσιμες σε:
- QTS 5.1.0.2399 έκδοση 20230515 και μεταγενέστερη έκδοση
- QTS 4.3.6.2441 build 20230621 και μεταγενέστερη
- QTS 4.3.4.2451 build 20230621 και μεταγενέστερη
- QTS 4.3.3.2420 build 20230621 και μεταγενέστερη
- QTS 4.2.6 έκδοση 20230621 και νεότερη έκδοση
-
Κονσόλα πολυμέσων 2.1.2 (
2023
/05/04) και νεότερη έκδοση - Κονσόλα πολυμέσων 1.4.8 (2023/05/05) και νεότερη έκδοση
- Πρόσθετο Media Streaming 500.1.1.2 (2023/06/12) και νεότερη έκδοση
- Πρόσθετο Media Streaming 500.0.0.11 (2023/06/16) και νεότερη έκδοση
Για να ενημερώσετε το QTS, τον ήρωα QuTS ή το QuTScloud, οι διαχειριστές μπορούν να συνδεθούν και να πλοηγηθούν στον Πίνακα Ελέγχου > Σύστημα > Ενημέρωση υλικολογισμικού και να κάνουν κλικ στο “Έλεγχος για
ενημέρωση
” στην περιοχή Ζωντανή ενημέρωση για λήψη και εγκατάσταση της πιο πρόσφατης έκδοσης. Διατίθενται επίσης ενημερώσεις ως
μη αυτόματες λήψεις
από την ιστοσελίδα της QNAP.
Η ενημέρωση της Κονσόλας πολυμέσων είναι δυνατή αναζητώντας την εγκατάσταση στο App Center και κάνοντας κλικ στο κουμπί “Ενημέρωση” (διαθέσιμο μόνο εάν υπάρχει νεότερη έκδοση). Η διαδικασία είναι παρόμοια για την ενημέρωση του πρόσθετου Media Streaming, το οποίο οι χρήστες μπορούν επίσης να εντοπίσουν κάνοντας αναζήτηση στο App Center.
Δεδομένου ότι οι συσκευές NAS χρησιμοποιούνται συνήθως για την αποθήκευση δεδομένων, τα σφάλματα εκτέλεσης εντολών θα μπορούσαν να έχουν σοβαρό αντίκτυπο καθώς οι εγκληματίες του κυβερνοχώρου αναζητούν συχνά νέους στόχους για να κλέψουν ή/και να κρυπτογραφήσουν ευαίσθητα δεδομένα. Οι επιτιθέμενοι μπορούν στη συνέχεια να απαιτήσουν λύτρα από το θύμα για να μην διαρρεύσουν τα δεδομένα ή να τα αποκρυπτογραφήσουν.
Οι συσκευές QNAP έχουν στοχοποιηθεί στο παρελθόν σε μεγάλης κλίμακας επιθέσεις ransomware. Πριν από ένα χρόνο, η συμμορία ransomware Deadbolt εκμεταλλεύτηκε μια ευπάθεια
zero-day
για να κρυπτογραφήσει συσκευές NAS που εκτέθηκαν στο δημόσιο Διαδίκτυο.
Τούτου λεχθέντος, συνιστάται στους χρήστες του QNAP να εφαρμόζουν τις διαθέσιμες ενημερώσεις ασφαλείας το συντομότερο δυνατό.
VIA:
bleepingcomputer.com