Търсене
Close this search box.

QNAP предупреждава за критичен недостатък за заобикаляне на автентикацията в своите NAS устройства

QNAP предупреждава за уязвимости в своите софтуерни продукти за NAS, включително QTS, QuTS hero, QuTScloud и myQNAPcloud, които могат да позволят на атакуващите да получат достъп до устройствата.

Тайванският производител на мрежови устройства за съхранение (NAS) разкри три уязвимости, които могат да доведат до заобикаляне на удостоверяването, инжектиране на команди и инжектиране на SQL.

Докато последните две изискват нападателите да бъдат автентифицирани в целевата система, което значително намалява риска, първата (CVE-2024-21899) може да бъде изпълнена отдалечено без автентикация и е отбелязана като „ниска сложност“.

Трите отстранени недостатъка са следните:

  • CVE-2024-21899: Неправилните механизми за удостоверяване позволяват на неупълномощени потребители да компрометират сигурността на системата чрез мрежата (отдалечено).
  • CVE-2024-21900: Тази уязвимост може да позволи на автентифицирани потребители да изпълняват произволни команди в системата чрез мрежата, което може да доведе до неоторизиран достъп или контрол на системата.
  • CVE-2024-21901: Тази уязвимост може да позволи на автентифицирани администратори да инжектират злонамерен SQL код през мрежата, което потенциално може да наруши целостта на базата данни и да манипулира нейното съдържание.

Недостатъците засягат различни версии на операционните системи на QNAP, включително QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x и услугата myQNAPcloud 1.0.x.

За да актуализирате myQNAPcloud, влезте като администратор, отворете „App Center“, щракнете върху полето за търсене и въведете „myQNAPcloud“ + ENTER. Актуализацията трябва да се появи в резултатите. Щракнете върху бутона „Update“ (Актуализиране), за да започнете.

NAS устройствата често съхраняват големи количества ценни данни за фирми и физически лица, включително чувствителна лична информация, интелектуална собственост и критични бизнес данни. В същото време те не се наблюдават отблизо, остават винаги свързани и изложени на интернет и може да използват остаряла операционна система/фърмуер.

Поради всички тези причини NAS устройствата често стават обект на кражба на данни и изнудване.

Някои от операциите за изнудване, за които е известно, че са насочени към устройства QNAP, са DeadBolt, Checkmate и Qlocker.

Тези групи са предприели многобройни вълни от атаки срещу потребители на NAS, като понякога използват експлойти от нулев ден, за да пробият напълно поправени устройства.

Най-добрият съвет за собствениците на NAS е винаги да поддържат софтуера си актуализиран, а още по-добре – да не излагат този тип устройства на интернет.

Източник: e-security.bg

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
17/04/2024

Последни тенденции при злов...

В днешната дигитална ера киберсигурността се...
07/04/2024

92 000 NAS устройства на D-...

Изследовател на заплахи е разкрил нов...
27/03/2024

CISA предупреждава за недо...

В понеделник Американската агенция за киберсигурност...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!