Zraniteľnosti v produktoch NAS

March 15, 2024

Spoločnosť QNAP poukázala na bezpečnostné chyby vo svojich softvérových produktoch NAS vrátane QTS, QuTS hero, QuTScloud a myQNAPcloud, ktoré by mohli autentifikovanému útočníkovi umožniť prístup k zariadeniam. Kritické zraniteľnosti umožňujú obídenie autentifikácie, injektovanie príkazov a injekciu SQL. Zraniteľnosti sa nachádzajú na viac ako 3 miliónoch zariadení, ktoré majú prístup na internet.

Zraniteľné systémy:

QTS 5.1.x
QTS 4.5.x
QuTS hero h5.1.x
QuTS hero h4.5.x
QuTScloud c5.x
myQNAPcloud 1.0.x

Opis činnosti:

CVE-2023-45025 (CVSS skóre 9,0) a CVE-2023-39297 (CVSS skóre 8,8)

Kritické zraniteľnosti CVE-2023-45025 a CVE-2023-39297 sa nachádzajú v operačnom systéme QNAP a umožňujú útočníkovi vykonávanie príkazov. V prípade CVE-2023-39297 je potrebná autentifikácia útočníka.

CVE-2024-21899 (CVSS skóre 9,8), CVE-2024-21900 (CVSS skóre 4,3) a CVE-2024-21901 (CVSS skóre 4,7)

Zraniteľnosti CVE-2024-21899, CVE-2024-21900 a CVE-2024-21901 sa nachádzajú v operačnom systéme QNAP. Úspešné zneužitie CVE-2024-21900 a CVE-2024-21901 umožňuje vzdialenému autentifikovanému útočníkovi vykonávať a injektovať škodlivé príkazy. Chyba CVE-2024-21899 sa týka nesprávneho overovania a môže viesť ku kompromitácii zabezpečenia systému.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonávanie príkazov
Injektovanie kódu
Narušenie integrity

Odporúčania:

Odporúčame bezodkladnú aktualizáciu na verzie:

QTS 5.1.3.2578 build 20231110 (opravuje CVE-2023-45025 a CVE-2023-39297)
QTS 4.5.4.2627 build 20231225 (opravuje CVE-2023-45025 a CVE-2023-39297)
QTS 5.0.1.2273 build 20240314 (opravuje CVE-2024-21899, CVE-2024-21900 a CVE-2024-21901)
QuTS hero h5.1.3.2578 build 20231110 (opravuje CVE-2023-45025 a CVE-2023-39297)
QuTS hero h4.5.4.2626 build 20231225 (opravuje CVE-2023-45025 a CVE-2023-39297)
QuTScloud c5.0.1.2273 build 20240314 (opravuje CVE-2024-21899, CVE-2024-21900 a CVE-2024-21901)
myQNAPcloud 1.0.52