Η QNAP Systems με έδρα την Ταϊβάν ανακοίνωσε το Σαββατοκύριακο ενημερώσεις κώδικα για πολλαπλές ευπάθειες QTS και QuTS Hero που παρουσιάστηκαν στον διαγωνισμό hacking Pwn2Own Ireland 2024.
Δείτε επίσης: Ευπάθεια του WordPress Gutenberg Editor επιτρέπει εισαγωγή κακόβουλων σεναρίων
Στο Pwn2Own, οι συμμετέχοντες κέρδισαν δεκάδες χιλιάδες δολάρια για εκμεταλλεύσεις προϊόντων QNAP και μια συμμετοχή κέρδισε ακόμη και 100.000 δολάρια, που περιλάμβανε την αλυσίδα όχι μόνο του QNAP αλλά και των τρωτών σημείων της συσκευής TrueNAS.
Το πιο σοβαρό από τα ελαττώματα είναι το CVE-2024-50393 (βαθμολογία CVSS 8,7), ένα ελάττωμα εισαγωγής εντολών που θα μπορούσε να επιτρέψει στους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετες εντολές σε ευάλωτες συσκευές.
Ένας Τεράστιος Σταθμός Ηλιακής Ενέργειας στο Διάστημα;
Το Hubble βρήκε νεογέννητα αστέρια στο νεφέλωμα του Ωρίωνα
Ημιμαραθώνιος Κίνα: Άνθρωποι θα αναμετρηθούν με ρομπότ
Ακολουθεί το CVE-2024-48868 (βαθμολογία CVSS 8,7), ένα σφάλμα έγχυσης Carriage Return and Line Feed (CRLF) που θα μπορούσε να χρησιμοποιηθεί για την τροποποίηση των δεδομένων εφαρμογής. Τα ειδικά στοιχεία CRLF είναι ενσωματωμένα σε κώδικα όπως κεφαλίδες HTTP για να δηλώνουν δείκτες End of Line (EOL).
Το QNAP έχει συμπεριλάβει ενημερώσεις κώδικα για αυτά τα ελαττώματα ασφαλείας στα QTS 5.1.9.2954 build 20241120, QTS 5.2.2.2950 build 20241114, QuTS Hero h5.1.9.2954 build 20241120 και Qu.29.29. 20241116.
Δείτε ακόμα: Ευπάθεια Bootloader επηρεάζει πάνω από 100 Cisco Switches
Οι ενημερώσεις λογισμικού επιλύουν επίσης το CVE-2024-48865 (βαθμολογία CVSS 7,3), μια ευπάθεια ακατάλληλης επικύρωσης πιστοποιητικού που θα μπορούσε να επιτρέψει στους εισβολείς τοπικού δικτύου να υπονομεύσουν την ασφάλεια του συστήματος.
Επιπλέον, οι ενημερώσεις επιδιορθώνουν ελαττώματα ακατάλληλου ελέγχου ταυτότητας και έγχυσης CRLF, μέσης σοβαρότητας, καθώς και ελαττώματα κωδικοποίησης συμβολοσειράς, χαμηλής σοβαρότητας.
Το Σαββατοκύριακο, η QNAP ανακοίνωσε επίσης ενημερώσεις κώδικα για μια ευπάθεια υψηλής σοβαρότητας στο Κέντρο αδειών χρήσης. Γνωστό ως CVE-2024-48863 (βαθμολογία CVSS 7,7), το πρόβλημα θα μπορούσε να επιτρέψει στους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετες εντολές.
Οι ενημερώσεις κώδικα για το σφάλμα συμπεριλήφθηκαν στο Κέντρο αδειών χρήσης QNAP 1.9.43. Για ενημέρωση στην πιο πρόσφατη έκδοση, οι χρήστες πρέπει να συνδεθούν στο QTS ή στο QuTS Hero ως διαχειριστές, να ανοίξουν το App Center, να βρουν το Κέντρο αδειών χρήσης χρησιμοποιώντας τη λειτουργία αναζήτησης και να κάνουν κλικ στο κουμπί ενημέρωσης, το οποίο εμφανίζεται μόνο εάν το Κέντρο αδειών δεν είναι ενημερωμένο.
Δείτε επίσης: CISA: Προειδοποιεί για ευπάθειες σε CyberPanel, North Grid, ProjectSend και Zyxel Firewalls
Η κυβερνοασφάλεια αποτελεί έναν σημαντικό παράγοντα για την προστασία των ψηφιακών συστημάτων από επιθέσεις και παραβιάσεις. Παρά τα μεγάλα οφέλη που προσφέρουν οι ψηφιακές τεχνολογίες, υπάρχουν ευπάθειες που μπορούν να εκθέσουν τα συστήματα και τα δεδομένα σε κινδύνους. Κατανοώντας αυτές τις ευπάθειες και λαμβάνοντας τα κατάλληλα μέτρα προφύλαξης, μπορούμε να ενισχύσουμε την ασφάλεια των ψηφιακών συστημάτων και να προστατεύσουμε τα πολύτιμα δεδομένα μας.
Πηγή: securityweek