Site icon Kiber.ba

QNAP upozorava na kritične nedostatke ubrizgavanja komandi u QTS OS i aplikacijama

QNAP upozorava na kritične nedostatke ubrizgavanja komandi u QTS OS i aplikacijama - Kiber.ba

QNAP upozorava na kritične nedostatke ubrizgavanja komandi u QTS OS i aplikacijama - Kiber.ba

QNAP Systems je objavio bezbjednosne savjete za dvije kritične ranjivosti ubrizgavanja komandi koje utiču na više verzija QTS operativnog sistema i aplikacija na njegovim mrežnim uređajima za skladištenje podataka (NAS).

Prva mana se prati kao  CVE-2023-23368  i ima kritičnu ocjenu ozbiljnosti od 9,8 od 10. To je ranjivost ubrizgavanja komande koju udaljeni napadač može iskoristiti za izvršavanje komandi putem mreže.

Verzije QTS-a na koje utiče sigurnosni problem su QTS 5.0.x i 4.5.x, QuTS hero h5.0.x i h4.5.x i QuTScloud c5.0.1.

Popravke su dostupne u sljedećim izdanjima: 

Druga ranjivost je identifikovana kao CVE-2023-23369  i ima nižu ocjenu ozbiljnosti od 9,0 i takođe bi je mogao iskoristiti udaljeni napadač na isti način kao i prethodnu.

Pogođene verzije QTS-a uključuju 5.1.x, 4.3.6, 4.3.4, 4.3.3 i 4.2.x, Multimedijalnu konzolu 2.1.x i 1.4.x i dodatak Media Streaming 500.1.x i 500.0.x.

Popravke su dostupne u:

Da ažuriraju QTS, QuTS hero ili QuTScloud, administratori se mogu prijaviti i otići na Kontrolna tabla > Sistem > Ažuriranje firmvera i kliknuti na “Provjeri ažuriranje” pod Live Update da preuzmu i instaliraju najnoviju verziju. Ažuriranja su takođe dostupna kao ručna preuzimanja sa QNAP-ove web stranice.

Ažuriranje Multimedijalne konzole moguće je traženjem instalacije u App Centru i klikom na dugme “Ažuriraj” (dostupno samo ako postoji novija verzija). Proces je sličan za ažuriranje dodatka Media Streaming, koji korisnici takođe mogu locirati pretražujući App Center.

Budući da se NAS uređaji obično koriste za pohranu podataka, nedostaci u izvršavanju naredbi mogu imati ozbiljan uticaj jer sajber kriminalci često traže nove mete za krađu i/ili šifriranje osjetljivih podataka. Napadači tada mogu tražiti otkupninu od žrtve kako ne bi procurili podaci ili da bi ih dešifrovali.

QNAP uređaji su u prošlosti bili meta napada velikih razmjera ransomware-a. Prije godinu dana, Deadbolt ransomware banda je iskoristila ranjivost nultog dana  za šifriranje NAS uređaja izloženih na javnom internetu.

Uz to, QNAP korisnicima se savjetuje da što prije primjene dostupna sigurnosna ažuriranja.

Izvor: BleepingComputer

Exit mobile version