712 подписчиков

QNAP предупреждает о критических уязвимостях на своих NAS-устройствах

6 мая 20246 мая 2024

2 мин

QNAP предупреждает об уязвимостях в своих программных продуктах для NAS, включая QTS, QuTS hero, QuTScloud и myQNAPcloud, которые могут позволить злоумышленникам получить доступ к устройствам. Тайваньский производитель устройств сетевого хранения данных (NAS) раскрыл 3 уязвимости, что могут привести к обходу аутентификации, инъекции команд и SQL-инъекции. В то время как последние два требуют аутентификации злоумышленников на целевой системе, что значительно снижает риск, первый (CVE-2024-21899) может быть выполнен удаленно без аутентификации и отмечен как «низкий уровень сложности». Три исправленных недостатка следующие: Эти уязвимости затрагивают различные версии операционных систем QNAP включая QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x и сервис myQNAPcloud 1.0.x. Пользователям рекомендуется обновиться до следующих версий, в которых устранены три недостатка: Для QTS, QuTS hero и QuTScloud пользователи должны войти в систему как администраторы, перейти в

Тайваньский производитель устройств сетевого хранения данных (NAS) раскрыл 3 уязвимости, что могут привести к обходу аутентификации, инъекции команд и SQL-инъекции.

В то время как последние два требуют аутентификации злоумышленников на целевой системе, что значительно снижает риск, первый (CVE-2024-21899) может быть выполнен удаленно без аутентификации и отмечен как «низкий уровень сложности».

Три исправленных недостатка следующие:

CVE-2024-21899: Неправильные механизмы аутентификации позволяют неавторизованным пользователям нарушить безопасность системы через сеть (удаленно).
CVE-2024-21900: Эта уязвимость может позволить аутентифицированным пользователям выполнять произвольные команды в системе через сеть, что может привести к несанкционированному доступу или управлению системой.
CVE-2024-21901: Эта уязвимость может позволить аутентифицированным администраторам внедрить вредоносный SQL-код через сеть, потенциально нарушая целостность базы данных и манипулируя ее содержимым.

Эти уязвимости затрагивают различные версии операционных систем QNAP включая QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x и сервис myQNAPcloud 1.0.x.

Пользователям рекомендуется обновиться до следующих версий, в которых устранены три недостатка:

QTS 5.1.3.2578 build 20231110 и более поздние версии
QTS 4.5.4.2627 build 20231225 и более поздние версии
QuTS hero h5.1.3.2578 build 20231110 и более поздние версии
QuTS hero h4.5.4.2626 build 20231225 и более поздние версии
QuTScloud c5.1.5.2651 и более поздние версии
myQNAPcloud 1.0.52 (2023/11/24) и более поздние версии

Для QTS, QuTS hero и QuTScloud пользователи должны войти в систему как администраторы, перейти в «Панель управления > Система > Обновление прошивки» и нажать «Проверить наличие обновления», чтобы запустить процесс автоматической установки.

Чтобы обновить myQNAPcloud, войдите в систему с правами администратора, откройте «App Center», нажмите на поле поиска и введите «myQNAPcloud» ENTER . Обновление должно появиться в результатах. Нажмите на кнопку «Обновить», чтобы начать обновление.

На устройствах NAS часто хранятся большие объемы ценных данных для предприятий и частных лиц, включая конфиденциальную личную информацию, интеллектуальную собственность и критически важные бизнес-данные. В то же время они не подвергаются тщательному контролю, постоянно подключены к Интернету и могут использовать устаревшую прошивку.

По всем этим причинам устройства NAS часто становятся мишенью для кражи данных и вымогательства.

Лучший совет для владельцев NAS – всегда обновлять программное обеспечение, а еще лучше – не выставлять эти устройства в Интернет.

Подробнее

Гаджеты и электроника

5,73 млн интересуются