Η QNAP διορθώνει δύο κρίσιμες ευπάθειες command injection που επηρεάζουν πολλαπλές εκδόσεις του λειτουργικού συστήματος QTS και εφαρμογές στις network-attached storage (NAS) συσκευές.
Η πρώτη ευπάθεια (CVE-2023-23368) έχει λάβει βαθμολογία 9,8/10 και θεωρείται κρίσιμη. Είναι μια ευπάθεια command injection, που μπορεί να εκμεταλλευτεί ένας απομακρυσμένος εισβολέας για να εκτελέσει εντολές μέσω δικτύου.
Οι εκδόσεις QTS που επηρεάζονται από την ευπάθεια είναι οι QTS 5.0.x και 4.5.x, QuTS hero h5.0.x και h4.5.x και QuTScloud c5.0.1.
Οι διορθώσεις είναι διαθέσιμες στις ακόλουθες εκδόσεις:
- QTS 5.0.1.2376 build 20230421 και μεταγενέστερη
- QTS 4.5.4.2374 build 20230416 και μεταγενέστερη
- QuTS hero h5.0.1.2376 build 20230421 και νεότερη έκδοση
- QuTS hero h4.5.4.2374 build 20230417 και μεταγενέστερη
- QuTScloud c5.0.1.2374 και νεότερη έκδοση
Η δεύτερη ευπάθεια (CVE-2023-23369), που διόρθωσε η QNAP, έχει βαθμολογία 9,0/10 και θα μπορούσε επίσης να χρησιμοποιηθεί από έναν απομακρυσμένο εισβολέα για εκτέλεση εντολών.
Δείτε επίσης: Η Veeam διορθώνει σοβαρές ευπάθειες στο Veeam ONE
Οι εκδόσεις QTS που επηρεάζονται, είναι: 5.1.x, 4.3.6, 4.3.4, 4.3.3 και 4.2.x, Multimedia Console 2.1.x και 1.4.x και Media Streaming add-on 500.1.x και 500.0.x.
Οι διορθώσεις είναι διαθέσιμες σε:
- QTS 5.1.0.2399 build 20230515 και μεταγενέστερη έκδοση
- QTS 4.3.6.2441 build 20230621 και μεταγενέστερη έκδοση
- QTS 4.3.4.2451 build 20230621 και μεταγενέστερη έκδοση
- QTS 4.3.3.2420 build 20230621 και μεταγενέστερη έκδοση
- QTS 4.2.6 build 20230621 και νεότερη έκδοση
- Multimedia Console 2.1.2 (2023/05/04) και νεότερη έκδοση
- Multimedia Console 1.4.8 (2023/05/05) και νεότερη έκδοση
- Media Streaming add-on 500.1.1.2 (2023/06/12) και νεότερη έκδοση
- Media Streaming add-on 500.0.0.11 (2023/06/16) και νεότερη έκδοση
Για την ενημέρωση των QTS, QuTS hero και QuTScloud, οι διαχειριστές μπορούν να συνδεθούν και να μεταβούν στα Control Panel > System > Firmware Update και να κάνουν κλικ στο “Check for Update” στην περιοχή Live Update. Εκεί μπορούν να κατεβάσουν και να εγκαταστήσουν την πιο πρόσφατη έκδοση. Οι ενημερώσεις είναι επίσης διαθέσιμες ως μη αυτόματες λήψεις από τον ιστότοπο της QNAP.
Η ενημέρωση του Multimedia Console είναι δυνατή αναζητώντας την εγκατάσταση στο App Center και κάνοντας κλικ στο κουμπί “Update” (διαθέσιμο μόνο εάν υπάρχει νεότερη έκδοση). Η διαδικασία είναι παρόμοια για την ενημέρωση του Media Streaming add-on.
Δείτε επίσης: Το νέο πρότυπο αξιολόγησης σοβαρότητας ευπαθειών CVSS 4.0 μόλις κυκλοφόρησε
Δεδομένου ότι οι συσκευές QNAP NAS χρησιμοποιούνται συνήθως για την αποθήκευση δεδομένων, αυτού του είδους οι ευπάθειες, που διόρθωσε τώρα η εταιρεία, θα μπορούσαν να έχουν σοβαρό αντίκτυπο. Οι εγκληματίες του κυβερνοχώρου αναζητούν συχνά νέους στόχους για να κλέψουν ή/και να κρυπτογραφήσουν ευαίσθητα δεδομένα. Οι επιτιθέμενοι μπορούν στη συνέχεια να απαιτήσουν λύτρα από το θύμα για να μην διαρρεύσουν τα δεδομένα ή για να τα αποκρυπτογραφήσουν.
Οι χρήστες QNAP NAS συσκευών καλούνται να εφαρμόσουν τις διαθέσιμες ενημερώσεις ασφαλείας το συντομότερο δυνατό.
Οι δυνητικοί κίνδυνοι αυτών των ευπαθειών είναι σοβαροί και πρέπει να ληφθούν σοβαρά υπόψη. Μια ευπάθεια command injection επιτρέπει την εκτέλεση κακόβουλου κώδικα στο σύστημα. Αυτό μπορεί να οδηγήσει σε αποκάλυψη ευαίσθητων πληροφοριών, όπως κωδικοί πρόσβασης ή προσωπικά δεδομένα. Επιπλέον, ο κακόβουλος κώδικας μπορεί να προκαλέσει ζημιά στο σύστημα, διαγράφοντας ή τροποποιώντας αρχεία ή ακόμη και παραβιάζοντας την ασφάλεια του δικτύου.
Δείτε επίσης: “Hello Kitty” Ransomware: Εκμεταλλεύτηκε ευπάθεια του Apache ActiveMQ ανοιχτού κώδικα
Επιπλέον, οι ευπάθειες command injection μπορούν να χρησιμοποιηθούν για την εκτέλεση απομακρυσμένων επιθέσεων, όπως η εκτέλεση κακόβουλου κώδικα ή η εγκατάσταση κακόβουλου λογισμικού σε άλλες συσκευές στο δίκτυο.
Τέλος, οι ευπάθειες μπορούν να επηρεάσουν την αξιοπιστία και τη φήμη μιας εταιρείας. Αν οι ευπάθειες δεν διορθωθούν άμεσα, μπορεί να προκληθεί ζημιά στην εικόνα της εταιρείας και να μειωθεί η εμπιστοσύνη των πελατών και των χρηστών.
Πηγή: www.bleepingcomputer.com