Autor: Łukasz Lein
|
Kategoria: Backup i Storage
|
Publikacja: 16-02-2024
Uwaga podatność

Jak opublikował SYMANTEC w swoim najnowszym biuletynie, firma QNAP ujawniła dwie nowe podatności dotyczące swoich flagowych systemów QTS oraz QuTS hero. Do czego luki te mogą doprowadzić oraz jak je załatać? 

Firma QNAP ujawniła i wydała łaty dla dwóch luk w zabezpieczeniach, które polegają na wstrzykiwaniu poleceń w systemach operacyjnych QTS i QuTS hero. Jedna z nich to luka o dużej wadze, która może pozwolić osobie atakującej na wykonanie dowolnego kodu na podatnym urządzeniu.

Błąd ten (CVE-2024-47218) dotyczy wersji 5.1.x systemów QTS i QuTS hero, które działają na różnych urządzeniach pamięci masowej QNAP podłączonych do sieci, w tym na wielu urządzeniach klasy korporacyjnej.

„QTS to podstawowa część oprogramowania sprzętowego wielu urządzeń QNAP podstawowej i średniej klasy z sieciową pamięcią masową (NAS), a QuTS hero zaś tych z najwyższej półki oraz przeznaczonych dla największych korporacji. Podatnym punktem końcowym jest komponent Quick.cgi, ujawniony przez funkcję administrowania urządzeniem przez Internet” – wyjaśnił Stephen Fewer z Rapid7, który odkrył lukę. „Komponent Quick.cgi jest obecny na niezainicjowanym urządzeniu QNAP NAS. Ten komponent jest przeznaczony do użycia podczas ręcznego lub opartego na chmurze udostępniania urządzenia QNAP NAS.”

Druga luka (CVE-2023-50358) uzyskała ocenę średnio-ważną, ponieważ została sklasyfikowana jako atak o dużej złożoności, który w przypadku pomyślnego wykorzystania miałby niewielkie skutki.

Oficjalny artykuł QNAP w tej sprawie oraz sposób naprawy podatności
Analiza podatności CVE-2024-47218
Analiza podatności CVE-2023-50358

 

O autorze: Łukasz Lein

Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".

Jesteśmy dla Ciebie

4.8 29 opinii
Zobacz opinie
ŁS
Łukasz Sokołowski
05-02-2024
Bardzo dobry kontakt i przyjazna obsługa. Realizacja zamówień przebiegała jak dotąd szybko i bez problemów. Dziękujemy.
AB
Arkadiusz Burda
15-06-2023
Polecam Arkanet w 100% za indywidualne podejście do klienta, bezproblemową obsługę i dyspozycyjność, rzetelność. Obsługa posprzedażna na absolutnie najwyższym poziomie, zawsze w gotowości do pomocy.
GG
Grzegorz Gałązka
01-05-2023
Super współpraca, bezproblemowy kontakt, pomoc od ręki przy rozwiązywaniu problemów. Sprawa do załatwienia w pięć dni - załatwiona w ciągu 24h. REWELACJA!!! Dziękuję za takie podejście…
Halo. Zróbmy coś razem
Zamów rozmowę z konsultantem, oddzwonimy.
Zadaj pytanie