Представители Qnap предупреждают о двух критических уязвимостях, связанных с инъекциями команд, которые затрагивают различные версии операционной системы QTS и приложений на NAS компании.

Первая уязвимость (CVE-2023-23368), получила оценку 9,8 балла из 10 по шкале CVSS, то есть является критической. Проблема связана с инъекциями команд и может использоваться удаленным злоумышленником. Эта уязвимость затрагивает следующие версии QTS: QTS 5.0.x и 4.5.x, QuTS hero h5.0.x и h4.5.x, а также QuTScloud c5.0.1.

Проблема уже устранена в следующих сборках:

  • QTS 5.0.1.2376 build 20230421 и более поздние версии;
  • QTS 4.5.4.2374 build 20230416 и более поздние версии;
  • QuTS hero h5.0.1.2376 build 20230421 и более поздние версии;
  • QuTS hero h4.5.4.2374 build 20230417 и более поздние версии;
  • QuTScloud c5.0.1.2374 и более поздние версии.

Вторая уязвимость (CVE-2023-23369), имеет более низкий рейтинг (9 баллов по шкале CVSS), но тоже может использоваться удаленным злоумышленником для внедрения и выполнения команд. Уязвимость затрагивает следующие версии QTS: 5.1.x, 4.3.6, 4.3.4, 4.3.3 и 4.2.x, Multimedia Console 2.1.x и 1.4.x, а также аддон Media Streaming 500.1.x и 500.0.x.

Патчи уже доступны в следующих версиях:

  • QTS 5.1.0.2399 build 20230515 и более поздние версии;
  • QTS 4.3.6.2441 build 20230621 и более поздние версии;
  • QTS 4.3.4.2451 build 20230621 и более поздние версии;
  • QTS 4.3.3.2420 build 20230621 и более поздние версии;
  • QTS 4.2.6 build 20230621 и более поздние версии;
  • Multimedia Console 2.1.2 (2023/05/04) и более поздние версии;
  • Multimedia Console 1.4.8 (2023/05/05) и более поздние версии;
  • Media Streaming 500.1.1.2 (2023/06/12) и более поздние версии;
  • Media Streaming 500.0.0.11 (2023/06/16) и более поздние версии.

В прошлом уязвимые устройства Qnap не раз становились мишенью для масштабных вымогательских и других атак. К примеру, год назад хак-группа Deadbolt шифровала устройства NAS, доступные через интернет, используя 0-day уязвимость. В связи с этим пользователям Qnap рекомендуется как можно скорее установить патчи.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии