Jak opublikował SYMANTEC w swoim najnowszym biuletynie, firma QNAP ujawniła dwie nowe podatności dotyczące swoich flagowych systemów QTS oraz QuTS hero. Do czego luki te mogą doprowadzić oraz jak je załatać?
Firma QNAP ujawniła i wydała łaty dla dwóch luk w zabezpieczeniach, które polegają na wstrzykiwaniu poleceń w systemach operacyjnych QTS i QuTS hero. Jedna z nich to luka o dużej wadze, która może pozwolić osobie atakującej na wykonanie dowolnego kodu na podatnym urządzeniu.
Błąd ten (CVE-2024-47218) dotyczy wersji 5.1.x systemów QTS i QuTS hero, które działają na różnych urządzeniach pamięci masowej QNAP podłączonych do sieci, w tym na wielu urządzeniach klasy korporacyjnej.
„QTS to podstawowa część oprogramowania sprzętowego wielu urządzeń QNAP podstawowej i średniej klasy z sieciową pamięcią masową (NAS), a QuTS hero zaś tych z najwyższej półki oraz przeznaczonych dla największych korporacji. Podatnym punktem końcowym jest komponent Quick.cgi, ujawniony przez funkcję administrowania urządzeniem przez Internet” – wyjaśnił Stephen Fewer z Rapid7, który odkrył lukę. „Komponent Quick.cgi jest obecny na niezainicjowanym urządzeniu QNAP NAS. Ten komponent jest przeznaczony do użycia podczas ręcznego lub opartego na chmurze udostępniania urządzenia QNAP NAS.”
Druga luka (CVE-2023-50358) uzyskała ocenę średnio-ważną, ponieważ została sklasyfikowana jako atak o dużej złożoności, który w przypadku pomyślnego wykorzystania miałby niewielkie skutki.
Oficjalny artykuł QNAP w tej sprawie oraz sposób naprawy podatności
Analiza podatności CVE-2024-47218
Analiza podatności CVE-2023-50358
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
