A QNAP Systems kritikus sebezhetőséget (CVE-2022-27596) javított NAS termékeinek szoftverében, javasolt mielőbb frissíteni a legújabb verzióra.
A sebezhetőség kihasználásával a támadóknak lehetősége nyílik arra, hogy távolról rosszindulatú kódokat juttassanak az eszközre, érzékeny adatokhoz férhetnek hozzá, módosíthatják és törölhetik is azokat. A QNAP további részleteket nem közölt a sebezhetőséggel kapcsolatban, azonban a NIST sérülékenységi adatbázisában található bejegyzés szerint a biztonsági rés egy SQL injection-típusú támadás lehetőségét rejti magában.
A sebezhetőség olyan QNAP eszközöket érint, amelyeken a QTS operációs rendszer 5.0.1-es vagy a QuTS hero h5.0.1-es számú verziója fut.
A hiba kijavításra került a QTS 5.0.1.2234 build 20221201, illetve a QuTS hero h5.0.1.2248 build 20221215 és ezeknél frissebb verziókban.
NAS tulajok számára a cég további biztonsági javaslatai:
- Használjanak egyedi és komplex jelszót!
- Alkalmazzanak többfaktoros azonosítást az admin fiók megfelelő védelme érdekében!
- Amennyiben nincs rá szükség, tiltsák le a nyílt internet felőli hozzáférést, vagy ha ez nem megoldható, korlátozzák a hozzáférést csak egy meghatározott IP cím tartományra (pl.: otthoni vagy munkahelyi stb.)!