QNAP исправляет уязвимости QTS, позволяя перехватить устройство NAS

QNAP исправляет уязвимости QTS, позволяя перехватить устройство NAS

Производитель сетевых хранилищ (NAS) QNAP сегодня выпустила обновления безопасности для устранения уязвимостей, которые могут позволить злоумышленникам получить контроль над непропатченными устройствами NAS после успешной эксплуатации

Восемь уязвимостей, исправленных сегодня QNAP, затрагивают все устройства QNAP NAS, на которых работает уязвимое программное обеспечение

Эти ошибки безопасности, связанные с внедрением команд и межсайтовыми сценариями (XSS), компания оценила как проблемы безопасности средней и высокой степени серьезности

Уязвимости XSS могут позволить удаленным злоумышленникам внедрить вредоносный код в уязвимые версии приложений

Использование ошибок внедрения команд позволяет им повышать привилегии, выполнять произвольные команды на скомпрометированном устройстве или приложении и брать на себя управление базовой операционной системой

Внедрение команд ОС и межсайтовый скриптинг

Список программного обеспечения, к которому применяются некоторые из сегодняшних обновлений безопасности, включает высокопроизводительную операционную систему на основе ZFS QNAP QuTS hero и ОС QTS NAS

QNAP исправил ошибки XSS CVE-2020-2495, CVE-2020-2496, CVE-2020-2497 и CVE-2020-2498, а также ошибку внедрения команды CVE-2019-7198 в этих версиях QTS и QuTS. герой:

READ  Сброс Iphone 8

Производитель NAS настоятельно рекомендует клиентам обновить свои системы до последней версии, чтобы предотвратить будущие атаки на их устройства

Чтобы развернуть обновления безопасности QTS и QuTS hero на вашем устройстве NAS, выполните следующую процедуру:

  • Войдите в QTS или QuTS hero как администратор.
  • Перейдите в Панель управления> Система> Обновление прошивки
  • В разделе «Обновление в реальном времени» щелкните Проверить наличие обновлений. QTS или QuTS hero загружает и устанавливает последнее доступное обновление.

QNAP также исправил ошибки XSS, влияющие на Music Station (CVE-2020-2494), Multimedia Console (CVE-2020-2493) и Photo Station (CVE-2020-2491)

Полная процедура, которую необходимо выполнить для обновления приложений до последних версий на вашем NAS, включает следующие шаги:

  • Войдите в QTS как администратор.
  • Откройте Центр приложений и щелкните. и введите название приложения в появившемся окне поиска
  • Щелкните Обновить. Появится подтверждающее сообщение. Примечание. Кнопка «Обновить» недоступна, если вы используете последнюю версию
  • Щелкните ОК. Приложение обновлено.

NAS-устройства QNAP — заманчивые цели

Учитывая, что устройства NAS обычно используются для резервного копирования и обмена файлами, они также регулярно становятся мишенью злоумышленников, которые пытаются украсть конфиденциальные документы или развернуть полезные нагрузки вредоносных программ

READ  Bluetooth Наушники Не Подключаются К Компьютеру

В сентябре QNAP предупредил клиентов о продолжающихся атаках на публично открытые устройства NAS с помощью программы-вымогателя AgeLocker с использованием старых и уязвимых версий Photo Station

Компания также предупредила об атаках программ-вымогателей eCh0raix, направленных на уязвимости того же приложения, начиная с июня 2020 года

В августовском отчете исследовательской лаборатории сетевой безопасности Qihoo 360 (360 Netlab) говорится, что хакеры также сканируют уязвимые устройства NAS и пытаются использовать уязвимость микропрограммы удаленного выполнения кода (RCE), устраненную QNAP в июле 2017 года

Еще одно предупреждение было выпущено QNAP два месяца назад, 21 октября, когда оно предупредило пользователей, что некоторые версии операционной системы QTS подвержены критической уязвимости Windows ZeroLogon (CVE-2020-1472), когда устройства были настроены как контроллер домена

Хотя устройства NAS обычно не используются в качестве контроллеров домена Windows, некоторые организации могут включить функцию управления учетными записями пользователей, аутентификации и обеспечения безопасности домена