Η QNAP διόρθωσε αρκετές ευπάθειες ασφαλείας, συμπεριλαμβανομένων τριών κρίσιμων σφαλμάτων, που οι χρήστες πρέπει να αντιμετωπίσουν το συντομότερο δυνατό.
Δύο από τις ευπάθειες επηρεάζουν το QNAP Notes Station 3, μια εφαρμογή λήψης σημειώσεων και συνεργασίας που χρησιμοποιείται στα συστήματα NAS της εταιρείας:
CVE-2024-38643 (CVSS v4: 9,3, “κρίσιμο”): Η έλλειψη ελέγχου ταυτότητας για κρίσιμες λειτουργίες θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και να εκτελέσουν συγκεκριμένες λειτουργίες του συστήματος. Χωρίς κατάλληλους μηχανισμούς ελέγχου ταυτότητας, οι εισβολείς μπορούν να εκμεταλλευτούν την ευπάθεια χωρίς prior credentials και να παραβιάσουν το σύστημα.
Δείτε επίσης: Ευπάθεια XSS στο Bing επιτρέπει κακόβουλα αιτήματα
Clone Alpha: Νέο επαναστατικό ανθρωποειδές ρομπότ
Χάκερ χρησιμοποιούν webcam χωρίς να εντοπίζονται
Αστεροειδής φλέγεται πάνω από τη Σιβηρία
CVE-2024-38645: Ευπάθεια Server-side request forgery (SSRF), που θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς με διαπιστευτήρια ελέγχου ταυτότητας να στέλνουν ειδικά αιτήματα που χειρίζονται το server-side behavior. Με αυτόν τον τρόπο, εκτίθενται δυνητικά ευαίσθητα δεδομένα εφαρμογών.
Η QNAP διόρθωσε τις δύο ευπάθειες στην έκδοση 3.9.7. Οδηγίες για την ενημέρωση είναι διαθέσιμες σε αυτό το ενημερωτικό δελτίο. Η άμεση εφαρμογή της ενημέρωσης κρίνεται απαραίτητη.
Δύο άλλες σοβαρές ευπάθειες είναι οι CVE-2024-38644 και CVE-2024-38646, που επιτρέπουν command injection και μη εξουσιοδοτημένη πρόσβαση σε δεδομένα, αλλά απαιτούν user-level access για την εκμετάλλευση.
Ευπάθειες στο QNAP QuRouter
Η τρίτη κρίσιμη ευπάθεια που διόρθωσε η QNAP είναι η CVE-2024-48860, που επηρεάζει τα προϊόντα QuRouter 2.4.x. Με βαθμολογία 9.5 στην κλίμακα CVSS v4, θα μπορούσε να επιτρέψει στους απομακρυσμένους εισβολείς να εκτελούν εντολές στο κεντρικό σύστημα.
Η QNAP διόρθωσε και ένα δεύτερο, λιγότερο σοβαρό πρόβλημα OS command injection, το CVE-2024-48861. Και οι δύο ευπάθειες διορθώνονται στην έκδοση QuRouter 2.4.3.106.
Δείτε επίσης: Ευπάθεια 7-Zip επιτρέπει στους hackers να εκτελούν αυθαίρετο κώδικα
QNAP: Διόρθωση ευπαθειών και σε άλλα προϊόντα
Άλλα προϊόντα που έλαβαν σημαντικές διορθώσεις είναι το QNAP AI Core (AI engine), το QuLog Center (log management tool), το QTS (τυπικό λειτουργικό σύστημα για συσκευές NAS) και το QuTS Hero (προηγμένη έκδοση του QTS).
Οι πιο σοβαρές από αυτές τις ευπάθειες είναι οι CVE-2024-38647 (στο QNAP AI Core, διορθώθηκε στην έκδοση 3.4.1 και μεταγενέστερη) CVE-2024-48862 (επηρεάζει τις εκδόσεις 1.7.x και 1.8.x του QuLog Center και διορθώθηκε στις εκδόσεις 1.7.0.831 και 1.8.0.888), CVE-2024-50396, CVE-2024-50397 (διορθώθηκαν στο QTS 5.2.1.2930 και στο QuTS hero h5.2.1.2929).
Αυτές οι ευπάθειες επιτρέπουν πρόσβαση σε ευαίσθητα δεδομένα (οι τρεις τελευταίες επιτρέπουν και τροποποίηση δεδομένων).
Συνιστάται στους πελάτες της QNAP να εγκαταστήσουν τις ενημερώσεις το συντομότερο δυνατό για να παραμείνουν ασφαλείς. Ο τακτικός έλεγχος για ενημερώσεις και η έγκαιρη εφαρμογή τους μπορεί να μειώσει σημαντικά την έκθεση σε αυτούς τους κινδύνους ασφαλείας. Επιπλέον, η QNAP συνιστά την εφαρμογή άλλων μέτρων ασφαλείας, όπως χρήση ισχυρών κωδικών πρόσβασης, η ενεργοποίηση firewalls και η χρήση VPN για την περαιτέρω ενίσχυση της ασφάλειας των συσκευών.
Δείτε επίσης: Ευπάθεια του NVIDIA Base Command Manager επιτρέπει απομακρυσμένο κώδικα
Η QNAP λαμβάνει σοβαρά υπόψη την ασφάλεια και πραγματοποιεί τακτικά αξιολογήσεις για τον προληπτικό εντοπισμό πιθανών κινδύνων. Οι χρήστες μπορούν να ενημερώνονται για τα πιο πρόσφατα updates και τις ανακοινώσεις ασφαλείας παρακολουθώντας τα ενημερωτικά δελτία ασφαλείας της QNAP ή ακολουθώντας τα κανάλια τους στα μέσα κοινωνικής δικτύωσης.
Πηγή: www.bleepingcomputer.com