Η QNAP ανακοίνωσε σήμερα δύο ευπάθειες που επηρεάζουν το QTS, το λειτουργικό σύστημα που τροφοδοτεί τις συσκευές αποθήκευσης που είναι συνδεδεμένες στο δίκτυο, οι οποίες θα μπορούσαν να επιτρέψουν την εκτέλεση αυθαίρετων εντολών.
Οι ευπάθειες μπορούν να αξιοποιηθούν εξ αποστάσεως και βρίσκονται σε εκδόσεις του software που κυκλοφόρησαν πριν από τις 8 Σεπτεμβρίου 2020.
Ο προμηθευτής συσκευών αποθήκευσης συνδεδεμένου δικτύου (NAS) δεν παρέχει πάρα πολλές λεπτομέρειες σχετικά με τα δύο ζητήματα, αλλά λέει ότι οι πρόσφατες εκδόσεις QTS περιλαμβάνουν τις απαραίτητες ενημερώσεις κώδικα.
Σύμφωνα με το security advisory της QNAP, οι χρήστες που έχουν ενημερώσει το λειτουργικό σύστημα QTS τουλάχιστον στην έκδοση QTS 4.4.3.1421 build 20200907 δεν πρέπει να ανησυχούν καθόλου.
Αυτήν τη στιγμή ονομάζονται ως CVE-2020-2490 και CVE-2020-2492 – τα δύο σφάλματα αναφέρονται ως ευπάθειες εντοπισμού εντολών, λέει η εταιρεία.
Δεν είναι σαφές πώς ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτές τις ευπάθειες ή ποια στοιχεία του λειτουργικού συστήματος είναι ευάλωτα, αλλά η εκτέλεση αυθαίρετων εντολών σε ένα σύστημα είναι συνήθως συνώνυμο με την πλήρη ανάληψη της συσκευής.
Οι λειτουργίες του λειτουργικού συστήματος QTS υπερβαίνουν την παροχή ενός άνετου περιβάλλοντος για κοινή χρήση αρχείων, διαχείριση αποθήκευσης και αντιγράφων ασφαλείας. Επιτρέπει επίσης την εγκατάσταση εφαρμογών από το QNAP App Center που επεκτείνουν τη λειτουργικότητα της συσκευής NAS για κάλυψη επιχειρηματικών και οικιακών ψυχαγωγικών σκοπών.
Οι συσκευές QNAP είναι ελκυστικοί στόχοι
Οι μικρές επιχειρήσεις τις χρησιμοποιούν συνήθως για δημιουργία αντιγράφων ασφαλείας και κοινή χρήση αρχείων. Ένα εκτεθειμένο σύστημα που χρησιμοποιεί ένα μη ενημερωμένο λειτουργικό σύστημα θα μπορούσε να δώσει στους εισβολείς την ευκαιρία να θέσουν σε κίνδυνο τη συσκευή αποθήκευσης με διάφορους τύπους malware.
Τον Σεπτέμβριο, το QNAP προειδοποίησε τους πελάτες για επιθέσεις ransomware που στοχεύουν τα προϊόντα NAS. Ο επιτιθέμενος εκμεταλλεύτηκε μια ευπάθεια στην εφαρμογή Photo Station που επιτρέπει στους χρήστες να ανεβάζουν εικόνες στη συσκευή, να δημιουργούν άλμπουμ ή να τις βλέπουν απομακρυσμένα.
Πιο πρόσφατα, η εταιρεία διόρθωσε ζητήματα στην εφαρμογή Helpdesk που θα μπορούσαν να αξιοποιηθούν για τον έλεγχο μιας συσκευής QNAP.
Μια άλλη προειδοποίηση ήρθε στις 21 Οκτωβρίου όταν ο προμηθευτής συσκευών NAS προειδοποίησε τους πελάτες ότι ορισμένες εκδόσεις του λειτουργικού συστήματος QTS επηρεάζονται από την κρίσιμη ευπάθεια ZeroLogon των Windows (CVE-2020-1472).
Οι χρήστες μπορούν να εγκαταστήσουν την πιο πρόσφατη ενημέρωση QTS μη αυτόματα μετά τη λήψη τους από τον ιστότοπο της QNAP ή ελέγχοντας για ενημερώσεις και αφήνοντας το λειτουργικό σύστημα να κατεβάσει και να εγκαταστήσει τη νέα έκδοση:
- Συνδεθείτε στο QTS ως administrator
- Μεταβείτε στο Control Panel > System > Firmware Update
- Στην ενότητα Live Update, κάντε κλικ στην επιλογή Check for Update
Πηγή πληροφοριών: bleepingcomputer.com
