През уикенда тайванската компания QNAP Systems обяви кръпки за множество уязвимости в QTS и QuTS Hero, демонстрирани на хакерското състезание Pwn2Own Ireland 2024.
В Pwn2Own участниците спечелиха десетки хиляди долари за експлойти на продукти на QNAP, а едно участие дори донесе на хакерите с бяла шапка 100 000 долара, но то включваше верижно използване на уязвимости не само на QNAP, но и на устройства TrueNAS.
Най-сериозната от дупките в сигурността е CVE-2024-50393 (CVSS оценка 8,7) – дефект при въвеждане на команда, който може да позволи на отдалечени нападатели да изпълняват произволни команди на уязвими устройства.
Следващата по ред е CVE-2024-48868 (CVSS оценка 8,7), грешка при инжектиране на Carriage Return and Line Feed (CRLF), която може да бъде използвана за промяна на данни на приложението. Специалните елементи CRLF се вграждат в код, например в HTTP заглавия, за да означават маркери за край на реда (End of Line – EOL).
QNAP е включила пачове за тези дефекти в сигурността в QTS 5.1.9.2954 build 20241120, QTS 5.2.2.2950 build 20241114, QuTS Hero h5.1.9.2954 build 20241120 и QuTS Hero h5.2.2.2952 build 20241116.
Актуализациите на софтуера също така разрешават CVE-2024-48865 (CVSS оценка 7.3), уязвимост за неправилно валидиране на сертификати, която може да позволи на локални мрежови атакуващи да компрометират сигурността на системата.
Освен това актуализациите поправят дефекти в сигурността със средна степен на опасност, свързани с неправилно удостоверяване и инжектиране на CRLF, както и дефекти в сигурността с ниска степен на опасност, свързани с шестнадесетично кодиране и външно контролиран форматиращ низ.
През уикенда QNAP обяви и кръпки за уязвимост с висока степен на опасност в License Center. Проследен като CVE-2024-48863 (CVSS оценка 7,7), проблемът може да позволи на отдалечени атакуващи да изпълняват произволни команди.
Поправките за грешката са включени в QNAP License Center 1.9.43. За да актуализират до най-новата версия, потребителите трябва да влязат в QTS или QuTS Hero като администратор, да отворят App Center, да намерят License Center чрез функцията за търсене и да кликнат върху бутона за актуализация, който се появява само ако License Center не е актуализиран.
През уикенда QNAP също така обяви пускането на Qsync Central версия 4.4.0.16_20240819 (2024/08/19), която поправя недостатък със средна тежест, който „може да позволи на отдалечени атакуващи, които са получили потребителски достъп, да преминат през файловата система до нежелани места“.
Въпреки че QNAP не споменава за използването на някоя от тези уязвимости от престъпниците, потребителите трябва да актуализират своите екземпляри възможно най-скоро, тъй като уязвимите устройства QNAP често са били обект на атаки. Допълнителна информация можете да намерите на страницата със съвети за сигурност на QNAP.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.