Компания QNAP предупредила об уязвимостях, обнаруженных в составе QTS, QuTS hero, QuTScloud и myQNAPcloud. Эти проблемы позволяли злоумышленникам получить доступ к чужим устройствам.
Производитель исправил сразу три уязвимости, которые могли привести к обходу аутентификации, инъекциям команд и SQL-инъекциям. И если два последних бага требуют, чтобы злоумышленник был аутентифицирован в целевой системе, что значительно снижает риски, то первый баг (CVE-2024-21899) можно эксплуатировать удаленно и без аутентификации.
В QNAP описывают уязвимости так:
- CVE-2024-21899: недостаточные механизмы аутентификации позволяют неавторизованным пользователям удаленно нарушить безопасность системы;
- CVE-2024-21900: аутентифицированные пользователи могут выполнять произвольные команды в системе через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею;
- CVE-2024-21901: позволяет аутентифицированным администраторам внедрять вредоносный SQL-код через сеть, что может привести к нарушению целостности БД и манипулированию ее содержимым.
Перечисленные уязвимости затрагивают различные версии операционных систем QNAP, включая QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x, а также сервис myQNAPcloud 1.0.x.
Пользователям рекомендуется как можно скорее обновиться до следующих версий, в которых устранены все три проблемы:
- QTS 5.1.3.2578 20231110 и более поздние версии;
- QTS 4.5.4.2627 20231225 и более поздние версии;
- QuTS hero h5.1.3.2578 20231110 и более поздние версии;
- QuTS hero h4.5.4.2626 20231225 и более поздние версии;
- QuTScloud c5.1.5.2651 и более поздние версии;
- myQNAPcloud 1.0.52 (2023/11/24) и более поздние версии.