Търсене
Close this search box.

Тайванската компания QNAP Systems пусна във вторник пачове за множество уязвимости в своите устройства за мрежово съхранение (NAS), включително за бъг, чийто код за доказателство на концепцията беше публикуван миналата седмица.

Проблемът, проследен като CVE-2024-27130, е описан като опасно „използване на функцията ‘strcpy’ във функцията No_Support_ACL, която се използва от заявката get_file_size в скрипта share.cgi“.

Скриптът се използва, когато даден потребител споделя файлове с външни потребители, и успешното използване на уязвимостта изисква атакуващият да получи параметъра ‘ssid’, генериран при споделянето на файл от потребителя на NAS.

Според WatchTowr уязвимостта води до препълване на буфера на стека и може да се използва за отдалечено изпълнение на код. Фирмата за киберсигурност, която е споделила технически подробности за CVE-2024-27130, публикува и POC код, насочен към устройства с деактивирано смекчаване на въздействието на Address Space Layout Randomization (ASLR).

Тъй като ASLR е активирана по подразбиране на всички устройства QNAP с QTS 4.x и 5.x, успешното използване на бъга е значително по-трудно.

QNAP отстрани този недостатък с пускането на QTS 5.1.7.2770 build 20240520 и QuTS hero h5.1.7.2770 build 20240520, които също така адресират четири други уязвимости, докладвани от WatchTowr.

„ASLR значително увеличава трудността за атакуващия да се възползва от тази уязвимост. Поради това ние оценихме нейната сериозност като средна. Въпреки това силно препоръчваме на потребителите да актуализират до QTS 5.1.7 / QuTS hero h5.1.7 веднага щом стане достъпна, за да гарантират, че системите им са защитени“, заявиха от QNAP във вторник.

През последната половин година WatchTowr разкри общо 15 уязвимости в устройствата на QNAP: 14 от тях бяха съобщени през декември 2023 г. и януари 2024 г., а още една беше съобщена на 11 май.

Производителят закърпи четири от тях в края на април и още пет с актуализациите от 21 май, когато също така обяви, че други два проблема ще бъдат отстранени с предстоящи актуализации. QNAP твърди, че все още не е потвърдила наличието на три други недостатъка.

„Съжаляваме за всички проблеми с координацията, които може да са възникнали между графика за пускане на продукта и разкриването на тези уязвимости. Предприемаме стъпки за подобряване на процесите и координацията в бъдеще, за да предотвратим повторното възникване на подобни проблеми“, заяви QNAP в отговор на разкриването на недостатъците от WatchTowr преди пускането на кръпките.

WatchTowr даде на доставчика няколко удължения на стандартния за индустрията 90-дневен период, посочен в програмата за разкриване на уязвимости.

„Оттук нататък за уязвимостите, класифицирани като с висока или критична сериозност, се ангажираме да завършим отстраняването им и да публикуваме поправки в рамките на 45 дни. За уязвимостите със средна степен на сериозност ще завършим отстраняването им и ще пуснем корекциите в рамките на 90 дни“, добави QNAP.

На потребителите се препоръчва да актуализират до най-новите версии на QTS и QuTS hero възможно най-скоро. Известно е, че  заплахи са използвали уязвимости на QNAP, за които са били пуснати кръпки.

 

Източник: e-security.bg

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!