В ряде операционных систем для оборудования QNAP обнаружены уязвимости, которые затрагивают приблизительно 80 тыс. устройств по всему миру. Дыры присутствуют в программном обеспечении QTS, QuTS hero, QuTScloud и QVP, а их эксплуатация может приводить в том числе к выполнению произвольного кода в системе жертвы.
Баги выявлены специалистами Sternum. Проблемы связаны с нарушением прав доступа к памяти. В случае успешной атаки злоумышленники могут повлиять на стабильность работы оборудования или спровоцировать непредсказуемое поведение устройства. В бюллетене безопасности QNAP также говорится о возможности извлечения «секретных значений».
Уязвимости получили индексы CVE-2022-27597 и CVE-2022-27598. Они устранены в QTS версии 5.0.1.2346 (сборка 20230322 и более поздние модификации), а также в QuTS hero версии h5.0.1.2348 (сборка 20230324 и выше). Обновления для операционных систем QuTScloud и QVP пока не выпущены, но QNAP заявляет, что в срочном порядке решает проблемы.
Отмечается также, что дыры представляют не слишком большую опасность. К тому же пока не зафиксированы случаи их практической эксплуатации. С другой стороны, говорят эксперты в области информационной безопасности, устройства QNAP, как и многое другое оборудование IoT, зачастую имеют некорректную конфигурацию, остаются незащищёнными брандмауэром и не обновляются. Это создаёт дополнительные риски для организаций.
Больше интересных новостей на сайте Servernews:
• В России сформирована рабочая группа по вопросам подготовки ИБ-кадров
• Атака на VoIP-платформу 3CX вышла на новый уровень: злоумышленники распространяют бэкдор Gopuram
• QNAP запустила программу Security Bounty по поиску уязвимостей в своих продуктах