A QNAP javított két NAS-okat érintő kritikus biztonsági hibát


2023. november 8. 14:35

Miután a tajvani cég pár hete bejelentette, hogy lekapcsolt egy rosszindulatú szervert, ami brute force támadásokat hajtott végre a gyenge jelszóval védett, internetre csatlakoztatott QNAP tárolóeszközök ellen, most két javított NAS sérülékenységről számolt be. Mindkét sebezhetőség parancs injection jellegű, hálózaton keresztüli parancsvégrehajtást tesz lehetővé, és a QNAP eszközök operációs rendszereit érintik.

Az első sérülékenység a CVE-2023-23368, CVSS pontszáma: 9.8.

A következő QTS, QuTS hero és QuTScloud rendszereket érinti:

  • QTS 5.0.x – javítva a QTS 5.0.1.2376 build 20230421-ben, és az annál frissebb verziókban
  • QTS 4.5.x – javítva a QTS 4.5.4.2374 build 20230416-ben, és az annál frissebb verziókban
  • QuTS hero h5.0.x – javítva a QuTS hero h5.0.1.2376 build 20230421-ben, és az annál frissebb verziókban
  • QuTS hero h4.5.x – javítva a QuTS hero h4.5.4.2374 build 20230417-ben, és az annál frissebb verziókban
  • QuTScloud c5.0.x – javítva a QuTScloud c5.0.1.2374-es verzióban, és az annál frissebbekben

A második sérülékenység a CVE-2023-23369, CVSS pontszáma: 9.0.

Az érintett QTS, Multimedia Console és Media streaming add-on verziók a következők:

  • QTS 5.1.x – javítva a QTS 5.1.0.2399 build 20230515 -ben, és az annál frissebb verziókban
  • QTS 4.3.6.x – javítva a QTS 4.3.6.2441 build 20230621 -ben, és az annál frissebb verziókban
  • QTS 4.3.4.x – javítva a QTS 4.3.4.2451 build 20230621 -ben, és az annál frissebb verziókban
  • QTS 4.3.3.x – javítva a QTS 4.3.3.2420 build 20230621 -ben, és az annál frissebb verziókban
  • QTS 4.2.x – javítva a QTS 4.2.6 build 20230621 -ben, és az annál frissebb verziókban
  • Multimedia Console 2.1.x – javítva a Multimedia Console 2.1.2-ban, és az annál frissebb verziókban (2023/05/04)
  • Multimedia Console 1.4.x – javítva a Multimedia Console 1.4.8-ban, és az annál frissebb verziókban (2023/05/05)
  • Media Streaming add-on 500.1.x – javítva a Media Streaming add-on 500.1.1.2-ben, és az annál frissebb verziókban (2023/06/12)
  • Media Streaming add-on 500.0.x – javítva a Media Streaming add-on 500.0.0.11-ben, és az annál frissebb verziókban (2023/06/16)

A QNAP felhívja azon felhasználók figyelmét, akik a fent említett szoftververziókat használják, hogy mielőbb telepítsék az elérhető szoftverfrissítéseket a lehetséges biztonsági kockázatok csökkentése érdekében, különösen mivel a korábbiakban a cég eszközeit már érték különféle zsarolótámadások.

(thehackernews.com)

CVE-2023-23368

CVE-2023-23369

Címkék

CVE CVSS NAS QNAP QTS QuTS QuTScloud Sérülékenység brute force sajtószemle sérülékenység

Kapcsolódó tartalmak: