QNAP NAS-t használ? Kritikus hibát javítottak, frissítsen!

A QNAP Systems kritikus sebezhetőséget (CVE-2022-27596) javított NAS termékeinek szoftverében, javasolt mielőbb frissíteni a legújabb verzióra.

A sebezhetőség kihasználásával a támadóknak lehetősége nyílik arra, hogy távolról rosszindulatú kódokat juttassanak az eszközre, érzékeny adatokhoz férhetnek hozzá, módosíthatják és törölhetik is azokat. A QNAP további részleteket nem közölt a sebezhetőséggel kapcsolatban, azonban a NIST sérülékenységi adatbázisában található bejegyzés szerint a biztonsági rés egy SQL injection-típusú támadás lehetőségét rejti magában.

A sebezhetőség olyan QNAP eszközöket érint, amelyeken a QTS operációs rendszer 5.0.1-es vagy a QuTS hero h5.0.1-es számú verziója fut.

A hiba kijavításra került a QTS 5.0.1.2234 build 20221201, illetve a QuTS hero h5.0.1.2248 build 20221215 és ezeknél frissebb verziókban.

NAS tulajok számára a cég további biztonsági javaslatai:

  • Használjanak egyedi és komplex jelszót!
  • Alkalmazzanak többfaktoros azonosítást az admin fiók megfelelő védelme érdekében!
  • Amennyiben nincs rá szükség, tiltsák le a nyílt internet felőli hozzáférést, vagy ha ez nem megoldható, korlátozzák a hozzáférést csak egy meghatározott IP cím tartományra (pl.: otthoni vagy munkahelyi stb.)!

(helpnetsecurity.com)