Търсене
Close this search box.

QNAP бърза с поправката за грешка в изпълнението на код в NAS устройствата

Тайванската компания QNAP Systems пусна във вторник пачове за множество уязвимости в своите устройства за мрежово съхранение (NAS), включително за бъг, чийто код за доказателство на концепцията беше публикуван миналата седмица.

Проблемът, проследен като CVE-2024-27130, е описан като опасно „използване на функцията ‘strcpy’ във функцията No_Support_ACL, която се използва от заявката get_file_size в скрипта share.cgi“.

Скриптът се използва, когато даден потребител споделя файлове с външни потребители, и успешното използване на уязвимостта изисква атакуващият да получи параметъра ‘ssid’, генериран при споделянето на файл от потребителя на NAS.

Според WatchTowr уязвимостта води до препълване на буфера на стека и може да се използва за отдалечено изпълнение на код. Фирмата за киберсигурност, която е споделила технически подробности за CVE-2024-27130, публикува и POC код, насочен към устройства с деактивирано смекчаване на въздействието на Address Space Layout Randomization (ASLR).

Тъй като ASLR е активирана по подразбиране на всички устройства QNAP с QTS 4.x и 5.x, успешното използване на бъга е значително по-трудно.

QNAP отстрани този недостатък с пускането на QTS 5.1.7.2770 build 20240520 и QuTS hero h5.1.7.2770 build 20240520, които също така адресират четири други уязвимости, докладвани от WatchTowr.

„ASLR значително увеличава трудността за атакуващия да се възползва от тази уязвимост. Поради това ние оценихме нейната сериозност като средна. Въпреки това силно препоръчваме на потребителите да актуализират до QTS 5.1.7 / QuTS hero h5.1.7 веднага щом стане достъпна, за да гарантират, че системите им са защитени“, заявиха от QNAP във вторник.

През последната половин година WatchTowr разкри общо 15 уязвимости в устройствата на QNAP: 14 от тях бяха съобщени през декември 2023 г. и януари 2024 г., а още една беше съобщена на 11 май.

Производителят закърпи четири от тях в края на април и още пет с актуализациите от 21 май, когато също така обяви, че други два проблема ще бъдат отстранени с предстоящи актуализации. QNAP твърди, че все още не е потвърдила наличието на три други недостатъка.

„Съжаляваме за всички проблеми с координацията, които може да са възникнали между графика за пускане на продукта и разкриването на тези уязвимости. Предприемаме стъпки за подобряване на процесите и координацията в бъдеще, за да предотвратим повторното възникване на подобни проблеми“, заяви QNAP в отговор на разкриването на недостатъците от WatchTowr преди пускането на кръпките.

WatchTowr даде на доставчика няколко удължения на стандартния за индустрията 90-дневен период, посочен в програмата за разкриване на уязвимости.

„Оттук нататък за уязвимостите, класифицирани като с висока или критична сериозност, се ангажираме да завършим отстраняването им и да публикуваме поправки в рамките на 45 дни. За уязвимостите със средна степен на сериозност ще завършим отстраняването им и ще пуснем корекциите в рамките на 90 дни“, добави QNAP.

На потребителите се препоръчва да актуализират до най-новите версии на QTS и QuTS hero възможно най-скоро. Известно е, че  заплахи са използвали уязвимости на QNAP, за които са били пуснати кръпки.

 

Източник: e-security.bg

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
16 юни 2024

CISA предупреждава за бъг в Windows, използван ...

Американската агенция за киберсигурност и инфраструктурна сигурност...
16 юни 2024

Бивш служител е осъден на 32 месеца затвор за и...

Бивш служител на National Computer Systems (NCS), отговарящ за осиг...
Бъдете социални
Още по темата
24/05/2024

Софтуерът за запис в съдебн...

Атакуващите са заобиколили инсталатора на широко...
21/05/2024

Уязвимост на Fluent Bit за...

Критична уязвимост на Fluent Bit, която...
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!