Máte zařízení NAS od společnosti QNAP? Aktualizujte jej a opravte tak kritické bezpečnostní chyby

Tchajwanská společnost QNAP vydala aktualizace k nápravě kritické bezpečnostní chyby ovlivňující její zařízení NAS (network-attached storage), která by mohla vést k vložení libovolného kódu.

2. 2. 2023

Zranitelnost je sledována jako CVE-2022-27596má hodnocení 9,8 z maximálně 10 na stupnici hodnocení CVSS. Útočník může tuto zranitelnost zneužít vzdáleně k vložení a spuštění vlastního škodlivého kódu. Chybu je možno na zranitelném zařízení snadno zneužít bez interakce s uživatelem nebo bez uživatelského účtu.

Přesná technická specifika týkající se chyby nejsou jasné, ale NIST National Vulnerability Database (NVD) ji kategorizovala jako chybu zabezpečení SQL injection. To znamená, že útočník by mohl posílat speciálně vytvořené dotazy SQL, které by mohly být zneužity k obcházení bezpečnostních kontrol a přístupu nebo pozměňování cenných informací.

Společnost doporučuje zákazníkům s ovlivněnými zařízeními (se systémem QTS 5.0.1 a QuTS hero h5.0.1), aby upgradovali na QTS 5.0.1.2234 sestavení 20221201 nebo QuTS hero h5.0.1.2248 sestavení 20221215 nebo novější. Přestože společnost QNAP neoznačila tuto chybu za aktivně využívanou ve volné přírodě, zákazníkům se doporučuje co nejdříve aktualizovat na nejnovější dostupnou verzi softwaru, protože zařízení NAS mají dlouhou historii s ransomwarovými útoky.

Chcete-li aktualizovat své zařízení, musíte se přihlásit jako uživatel správce, přejít na „Ovládací panely → Systém → Aktualizace firmwaru“, kliknout na možnost „Zkontrolovat aktualizace“ v části „Automatická aktualizace“ a počkat až stažení a instalace budou kompletní.

Jeden den poté, co společnost QNAP vydala bezpečnostní aktualizace, které řeší tuto kritickou zranitelnost, zveřejnili bezpečnostní výzkumníci Censys zprávu, která odhaluje, že bylo opraveno jen něco málo přes 550 z více než 60 000 zařízení QNAP NAS, která našli online.

Zdroje

https://thehackernews.com/2023/01/qnap-fixes-critical-vulnerability-in.html

https://www.root.cz/zpravicky/qnap-opravuje-kritickou-zranitelnost-ohrozujici-jeji-nas/?utm_source=newsletter-html-d&utm_medium=text&utm_campaign=2023-02-01

https://www.bleepingcomputer.com/news/security/over-29-000-qnap-devices-vulnerable-to-code-injection-attacks/

 

zpět

VISITECH a.s. je stabilní partner a odborník v oblasti kybernetické bezpečnosti a IT infrastruktury, informačních systémů a sítí firem a organizací. Jsme přední společností v oblasti skutečné kybernetické bezpečnosti.

KONTAKT

Košinova 655/59
612 00 Brno

info@visitech.cz
+420 538 700 880

IČ: 255 43 415
DIČ: CZ 255 43 415

vedený u Krajského soudu v Brně oddíl B,
vložka 6323

POBOČKY

Praha 4, Michle
Ohradní 1394/61
+420 274 776 890

KANCELÁŘ

Ostrava - Vítkovice
Ruská 83/24
+420 597 317 377

VISITECH a.s. 2021 © Všechna práva vyhrazena

Vectors by Vecteezy & Freepik.