Разработчики Qnap предупредили, что некоторые модели NAS (с конфигурациями, отличными от настроек по умолчанию) могут быть уязвимы для атак с использованием критической PHP-уязвимости трехлетней давности, которая допускает удаленное выполнение произвольного кода.
Речь идет об уязвимости (CVE-2019-11043), которая представляет угрозу для некоторых версий ОС компании. Так, уязвимость уже была исправлена для QTS 5.0.1.2034 build 20220515 или новее, а также QuTS hero h5.0.0.2069 build 20220614 или новее. Тем не менее, ошибка затрагивает весьма широкий спектр устройств компании и также представляет угрозу для:
- QTS 5.0.x и выше;
- QTS 4.5.x и выше;
- QuTS hero h5.0.x и выше;
- QuTS hero h4.5.x и выше;
- QuTScloud c5.0.x и выше.
«Уязвимость затрагивает версии PHP 7.1.x ниже 7.1.33, 7.2.x ниже 7.2.24 и 7.3.x ниже 7.3.11. В случае эксплуатации проблема позволяет злоумышленникам добиться удаленного выполнения кода, — сообщают в Qnap. — Чтобы защитить свое устройство, мы рекомендуем вам регулярно обновлять ПО до последней версии».
Также производитель подчеркивает, что для успешной эксплуатации CVE-2019-11043 должен быть соблюден ряд условий. В частности, nginx и php-fpm должны работать.
«Поскольку в нашем программном обеспечении по умолчанию нет nginx, Qnap NAS не подвержены этой уязвимости в их состоянии по умолчанию. Если nginx установлен пользователем и запущен, то обновление, предоставленное в бюллетене QSA-22-20, следует применить как можно скорее, чтобы снизить связанные с этим риски», — говорят разработчики.
Интересно, что это предупреждение было опубликовано всего через неделю после того, как производитель NAS уведомил пользователей о новой волне атак вымогателя DeadBolt, а ИБ-эксперты сообщали, что устройства Qnap вновь подвергаются атакам малвари ech0raix. Пока неизвестно, какой вектор заражения DeadBolt и ech0raix используют на этот раз, лишь сообщается, что Deadbolt нацелен на устройства с более старым версиями прошивок (выпущенными с 2017 по 2019 год).
