QNAP предупреждава за уязвимости в своите софтуерни продукти за NAS, включително QTS, QuTS hero, QuTScloud и myQNAPcloud, които могат да позволят на атакуващите да получат достъп до устройствата.
Тайванският производител на мрежови устройства за съхранение (NAS) разкри три уязвимости, които могат да доведат до заобикаляне на удостоверяването, инжектиране на команди и инжектиране на SQL.
Докато последните две изискват нападателите да бъдат автентифицирани в целевата система, което значително намалява риска, първата (CVE-2024-21899) може да бъде изпълнена отдалечено без автентикация и е отбелязана като „ниска сложност“.
Трите отстранени недостатъка са следните:
Недостатъците засягат различни версии на операционните системи на QNAP, включително QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x и услугата myQNAPcloud 1.0.x.
За да актуализирате myQNAPcloud, влезте като администратор, отворете „App Center“, щракнете върху полето за търсене и въведете „myQNAPcloud“ + ENTER. Актуализацията трябва да се появи в резултатите. Щракнете върху бутона „Update“ (Актуализиране), за да започнете.
NAS устройствата често съхраняват големи количества ценни данни за фирми и физически лица, включително чувствителна лична информация, интелектуална собственост и критични бизнес данни. В същото време те не се наблюдават отблизо, остават винаги свързани и изложени на интернет и може да използват остаряла операционна система/фърмуер.
Поради всички тези причини NAS устройствата често стават обект на кражба на данни и изнудване.
Някои от операциите за изнудване, за които е известно, че са насочени към устройства QNAP, са DeadBolt, Checkmate и Qlocker.
Тези групи са предприели многобройни вълни от атаки срещу потребители на NAS, като понякога използват експлойти от нулев ден, за да пробият напълно поправени устройства.
Най-добрият съвет за собствениците на NAS е винаги да поддържат софтуера си актуализиран, а още по-добре – да не излагат този тип устройства на интернет.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.