QNAP, тайванський виробник підключених до мережі пристроїв зберігання даних (NAS), в п’ятницю випустив оновлення безпеки, щоб виправити дев’ять слабких місць безпеки, включаючи критичну проблему, яка може бути використана, щоб взяти контроль над постраждалою системою.
”Повідомляється, що уразливість впливає на QNAP VS Series NVR під управлінням QVR”, - йдеться в повідомленні QNAP. “Якщо її використовувати, ця вразливість дозволяє віддаленим зловмисникам запускати довільні команди”.
Відстежувана як CVE-2022-27588 (оцінка CVSS: 9.8), вразливість була вирішена в QVR 5.1.6 20220401 і пізніших версіях. Приписують повідомлення про недолік до Японського координаційного центру групи реагування на комп’ютерні надзвичайні ситуації (JPCERT / CC).
Крім критичного недоліку, QNAP також вирішив три помилки високої тяжкості та п’ять помилок середньої тяжкості у своєму програмному забезпеченні:
- CVE-2021-38693 (оцінка CVSS: 5.3) – Прохідна вразливість шляху в thttpd, що впливає на пристрої QNAP під управлінням QNAP, QuTS, QuTScloud та QVR Pro Appliance, що призводить до розкриття інформації
- CVE-2021-44051 (оцінка CVSS: 8.8) – Вразливість командної ін’єкції в пристроях QNAP під керуванням QTS, QuTS hero та QuTScloud, що призводить до довільного виконання команди
- CVE-2021-44052 (оцінка CVSS: 6.5) – Неправильна перевірка посилань перед доступом до файлів (“направляюче посилання”) вразливість на пристроях QNAP під керуванням QTS, QuTS hero та QuTScloud, що дозволяє зловмисникам читати /записувати файли в довільних розташуваннях файлів
- CVE-2021-44053 (оцінка CVSS: 5.7) – Вразливість міжсайтових сценаріїв (XSS) на пристроях QNAP під керуванням QTS, QuTS hero та QuTScloud, що призводить до ін’єкції коду
- CVE-2021-44054 (оцінка CVSS: 4.3) – Відкрита вразливість перенаправлення на пристроях QNAP під управлінням QTS, QuTS hero та QuTScloud, що дозволяє перенаправляти користувачів на веб-сторінки
- CVE-2021-44055 (оцінка CVSS: 5.3) – Відсутня перевірка авторизації в пристроях QNAP під управлінням Video Station, що дозволяє зловмисникам отримувати доступ до даних або виконувати несанкціоновані дії
- CVE-2021-44056 (оцінка CVSS: 7.1) – Неправильна перевірка аутентифікації на пристроях QNAP під управлінням Video Station, що призводить до системної компрометації
- CVE-2021-44057 (оцінка CVSS: 7.1) – Неправильна перевірка аутентифікації на пристроях QNAP під керуванням Photo Station, що призводить до системної компрометації