QNAP提醒注意NAS设备中严重的认证绕过漏洞
2024-3-11 17:53:24 Author: mp.weixin.qq.com(查看原文) 阅读量:13 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

QNAP提醒称,NAS 软件产品包括 QTS、QuTS hero、QuTScloud和myQNAPcloud 中存在多个漏洞,可导致攻击者访问设备。

QNAP披露了三个漏洞,它们可导致认证绕过、命令注入和SQL注入后果。虽然后两类漏洞要求攻击者在目标系统上进行认证,从而大大降低了风险,但第一类漏洞CVE-2024-21899则可在无需认证的情况下遭远程执行,且被标记为“低复杂度”。

这三个漏洞如下:

  • CVE-2024-21899:不当认证机制可导致越权用户通过网络(远程)攻陷系统安全。

  • CVE-2024-21900:该漏洞可导致认证用户通过网络在系统上执行任意命令,从而导致越权系统访问权限或控制。

  • CVE-2024-21901:GIA漏洞可导致认证管理员通过网络注入恶意SQL代码,从而攻陷数据库完整性并操纵其内容。

这些漏洞影响QNAP操作系统的多个版本,包括QTS 5.1.x、QTS 4.5.x、QuTS hero h5.1.x、QuTS hero h4.5.x、QuTScloud c5.x和myQNAPcloud 1.0.x 服务。

建议用户升级至如下已修复这些漏洞的版本:

  • QTS 5.1.3.2578 build 20231110 及后续版本

  • QTS 4.5.4.2627 build 20231225 及后续版本

  • QuTS hero h5.1.3.2578 build 20231110 及后续版本

  • QuTS hero h4.5.4.2626 build 20231225 及后续版本

  • QuTScloud c5.1.5.2651 及后续版本

  • myQNAPcloud 1.0.52 (2023/11/24) 及后续版本

对于QTS、QuTS hero和QuTSchool 而言,用户必须以管理员身份登录,导航至“控制面板>系统>固件更新”,并点击“检查更新”来启动自动化安装流程。

要更新 myQNAPcloud,则以管理员身份登录,打开“App 中心”,点击搜索框,输入 “myQNAPcloud” + ENTER 键。更新将会出现在结果中。点击“更新”按钮以启动。

NAS 设备通常存储企业和个人的大量有价值数据,包括敏感的个人信息、知识财产和关键的业务数据。同时,这些数据并未得到密切监控,仍然是联网状态且暴露到互联网,并可使用过期的操作系统/固件。

为此,NAS设备通常称为数据盗取和勒索的目标。某些勒索组织此前专门攻击QNAP设备如DeadBolt、Checkmate和Qlocker。这些黑客组织对NAS用户发动大量攻击,有时候会利用0day exploit来攻击完全修复的设备。

对于NAS设备所有人而言,最佳实践是保持更新软件,而更好的方法是不要讲这类设备暴露到互联网。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

QNAP 修复多款产品中的多个高危漏洞

CISA:FXC 路由器和 QNAP NVR 漏洞已遭在野利用

QNAP 修复两个严重的命令注入漏洞

QNAP正在紧急修复两个0day,影响全球超8万设备

QNAP 提醒用户修复 NAS 设备中的高危 Linux Sudo 漏洞

原文链接
https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-auth-bypass-flaw-in-its-nas-devices/#google_vignette

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519033&idx=2&sn=59f095fb0e0636ab2257aaf9cc7d7e27&chksm=ea94ba53dde333458f33894831a44c39ac69f925de1b9e7262ba526c9c4ebe0f113e84a4f2e5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh