Miután a tajvani cég pár hete bejelentette, hogy lekapcsolt egy rosszindulatú szervert, ami brute force támadásokat hajtott végre a gyenge jelszóval védett, internetre csatlakoztatott QNAP tárolóeszközök ellen, most két javított NAS sérülékenységről számolt be. Mindkét sebezhetőség parancs injection jellegű, hálózaton keresztüli parancsvégrehajtást tesz lehetővé, és a QNAP eszközök operációs rendszereit érintik.
Az első sérülékenység a CVE-2023-23368, CVSS pontszáma: 9.8.
A következő QTS, QuTS hero és QuTScloud rendszereket érinti:
- QTS 5.0.x – javítva a QTS 5.0.1.2376 build 20230421-ben, és az annál frissebb verziókban
- QTS 4.5.x – javítva a QTS 4.5.4.2374 build 20230416-ben, és az annál frissebb verziókban
- QuTS hero h5.0.x – javítva a QuTS hero h5.0.1.2376 build 20230421-ben, és az annál frissebb verziókban
- QuTS hero h4.5.x – javítva a QuTS hero h4.5.4.2374 build 20230417-ben, és az annál frissebb verziókban
- QuTScloud c5.0.x – javítva a QuTScloud c5.0.1.2374-es verzióban, és az annál frissebbekben
A második sérülékenység a CVE-2023-23369, CVSS pontszáma: 9.0.
Az érintett QTS, Multimedia Console és Media streaming add-on verziók a következők:
- QTS 5.1.x – javítva a QTS 5.1.0.2399 build 20230515 -ben, és az annál frissebb verziókban
- QTS 4.3.6.x – javítva a QTS 4.3.6.2441 build 20230621 -ben, és az annál frissebb verziókban
- QTS 4.3.4.x – javítva a QTS 4.3.4.2451 build 20230621 -ben, és az annál frissebb verziókban
- QTS 4.3.3.x – javítva a QTS 4.3.3.2420 build 20230621 -ben, és az annál frissebb verziókban
- QTS 4.2.x – javítva a QTS 4.2.6 build 20230621 -ben, és az annál frissebb verziókban
- Multimedia Console 2.1.x – javítva a Multimedia Console 2.1.2-ban, és az annál frissebb verziókban (2023/05/04)
- Multimedia Console 1.4.x – javítva a Multimedia Console 1.4.8-ban, és az annál frissebb verziókban (2023/05/05)
- Media Streaming add-on 500.1.x – javítva a Media Streaming add-on 500.1.1.2-ben, és az annál frissebb verziókban (2023/06/12)
- Media Streaming add-on 500.0.x – javítva a Media Streaming add-on 500.0.0.11-ben, és az annál frissebb verziókban (2023/06/16)
A QNAP felhívja azon felhasználók figyelmét, akik a fent említett szoftververziókat használják, hogy mielőbb telepítsék az elérhető szoftverfrissítéseket a lehetséges biztonsági kockázatok csökkentése érdekében, különösen mivel a korábbiakban a cég eszközeit már érték különféle zsarolótámadások.