На этой неделе Qnap выпустила обновление для своей операционной системы QTS, под управлением которой работают NAS компании, сообщив об исправлении сразу двух уязвимостей, связанных с инъекциями команд.
Хотя много подробностей о найденных проблемах разработчики пока не раскрывают, сообщается, что баги получили идентификаторы CVE-2020-2490 и CVE-2020-2492, и были устранены в составе QTS 4.4.3.1421 build 20200907.
Пока неясно, как именно злоумышленник может эксплуатировать эти баги, и какие компоненты ОС уязвимы. Сообщается лишь, что эти уязвимости могут использоваться удаленно, а учитывая, что обе проблемы допускают инъекции команд, это может означать возможность полного захвата уязвимого устройства.
Напомню, что это уже третья серьезная проблема устройств Qnap за последнее время это. Так, в в сентябре 2020 года разработчики устранили две критические уязвимости в приложении Helpdesk, сообщили, что NAS компании могут быть уязвимы перед проблемой Zerologon, кроме того, в последние месяцы девайсы Qnap подвергались массовым атакам вымогателей AgeLocker и Ch0raix. Последние, впрочем, эксплуатировали старые и давно известные баги.