Търсене
Close this search box.

QNAP предупреждава за уязвимости в своите софтуерни продукти за NAS, включително QTS, QuTS hero, QuTScloud и myQNAPcloud, които могат да позволят на атакуващите да получат достъп до устройствата.

Тайванският производител на мрежови устройства за съхранение (NAS) разкри три уязвимости, които могат да доведат до заобикаляне на удостоверяването, инжектиране на команди и инжектиране на SQL.

Докато последните две изискват нападателите да бъдат автентифицирани в целевата система, което значително намалява риска, първата (CVE-2024-21899) може да бъде изпълнена отдалечено без автентикация и е отбелязана като „ниска сложност“.

Трите отстранени недостатъка са следните:

  • CVE-2024-21899: Неправилните механизми за удостоверяване позволяват на неупълномощени потребители да компрометират сигурността на системата чрез мрежата (отдалечено).
  • CVE-2024-21900: Тази уязвимост може да позволи на автентифицирани потребители да изпълняват произволни команди в системата чрез мрежата, което може да доведе до неоторизиран достъп или контрол на системата.
  • CVE-2024-21901: Тази уязвимост може да позволи на автентифицирани администратори да инжектират злонамерен SQL код през мрежата, което потенциално може да наруши целостта на базата данни и да манипулира нейното съдържание.

Недостатъците засягат различни версии на операционните системи на QNAP, включително QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x и услугата myQNAPcloud 1.0.x.

За да актуализирате myQNAPcloud, влезте като администратор, отворете „App Center“, щракнете върху полето за търсене и въведете „myQNAPcloud“ + ENTER. Актуализацията трябва да се появи в резултатите. Щракнете върху бутона „Update“ (Актуализиране), за да започнете.

NAS устройствата често съхраняват големи количества ценни данни за фирми и физически лица, включително чувствителна лична информация, интелектуална собственост и критични бизнес данни. В същото време те не се наблюдават отблизо, остават винаги свързани и изложени на интернет и може да използват остаряла операционна система/фърмуер.

Поради всички тези причини NAS устройствата често стават обект на кражба на данни и изнудване.

Някои от операциите за изнудване, за които е известно, че са насочени към устройства QNAP, са DeadBolt, Checkmate и Qlocker.

Тези групи са предприели многобройни вълни от атаки срещу потребители на NAS, като понякога използват експлойти от нулев ден, за да пробият напълно поправени устройства.

Най-добрият съвет за собствениците на NAS е винаги да поддържат софтуера си актуализиран, а още по-добре – да не излагат този тип устройства на интернет.

Източник: e-security.bg

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
27/09/2024

Предпазване от кибератаки п...

През последните години киберпрестъпниците все по-често...
24/09/2024

Versa Networks закърпва уяз...

Versa Networks обяви кръпки за уязвимост...
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!