Περιεχόμενα Άρθρου
Η QNAP κυκλοφόρησε ενημερωτικά δελτία ασφαλείας το Σαββατοκύριακο, τα οποία αντιμετωπίζουν πολλαπλά τρωτά σημεία, συμπεριλαμβανομένων τριών κρίσιμων ελαττωμάτων σοβαρότητας που οι χρήστες πρέπει να αντιμετωπίσουν το συντομότερο δυνατό.
Ξεκινώντας με το QNAP Notes Station 3, μια εφαρμογή λήψης σημειώσεων και συνεργασίας που χρησιμοποιείται στα συστήματα NAS της εταιρείας, τα ακόλουθα δύο τρωτά σημεία επηρεάζουν:
- CVE-2024-38643 – Η έλλειψη ελέγχου ταυτότητας για κρίσιμες λειτουργίες θα μπορούσε να επιτρέψει στους απομακρυσμένους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και να εκτελέσουν συγκεκριμένες λειτουργίες του συστήματος. Η έλλειψη κατάλληλων μηχανισμών ελέγχου ταυτότητας δίνει τη δυνατότητα στους εισβολείς να εκμεταλλευτούν αυτό το ελάττωμα χωρίς προηγούμενα διαπιστευτήρια, οδηγώντας σε ενδεχόμενο συμβιβασμό του συστήματος. (Βαθμολογία CVSS v4: 9,3, “κρίσιμο”)
- CVE-2024-38645 – Ευπάθεια πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF) που θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς με διαπιστευτήρια ελέγχου ταυτότητας να στέλνουν δημιουργημένα αιτήματα που χειραγωγούν τη συμπεριφορά από την πλευρά του διακομιστή, εκθέτοντας δυνητικά ευαίσθητα δεδομένα εφαρμογών.
Το QNAP έχει επιλύσει αυτά τα ζητήματα στο Notes Station 3 έκδοση 3.9.7 και συνιστά στους χρήστες ενημέρωση σε αυτήν την έκδοση ή νεότερη έκδοση για να μετριάσουν τον κίνδυνο. Οι οδηγίες για την ενημέρωση είναι διαθέσιμο σε αυτό το δελτίο.
Τα άλλα δύο θέματα που αναφέρονται στο ίδιο δελτίο, CVE-2024-38644 και CVE-2024-38646είναι υψηλής σοβαρότητας (βαθμολογία CVSS v4: 8,7, 8,4) ένεση εντολών και προβλήματα πρόσβασης μη εξουσιοδοτημένων δεδομένων που απαιτούν πρόσβαση σε επίπεδο χρήστη για την εκμετάλλευση.
Βλάβες QuRouter
Το τρίτο κρίσιμο ελάττωμα του QNAP που αντιμετωπίστηκε το Σάββατο είναι CVE-2024-48860επηρεάζοντας τα προϊόντα QuRouter 2.4.x, τη σειρά ασφαλών δρομολογητών υψηλής ταχύτητας της QNAP.
Το ελάττωμα, που βαθμολογήθηκε με 9,5 “κρίσιμο” σύμφωνα με το CVSS v4, είναι ένα ελάττωμα εισαγωγής εντολών του λειτουργικού συστήματος που θα μπορούσε να επιτρέψει στους απομακρυσμένους εισβολείς να εκτελούν εντολές στο κεντρικό σύστημα.
Το QNAP διόρθωσε επίσης ένα δεύτερο, λιγότερο σοβαρό πρόβλημα έγχυσης εντολών που εντοπίστηκε ως CVE-2024-48861με αντιμετωπίζονται και τα δύο ζητήματα στην έκδοση QuRouter 2.4.3.106.
Άλλες διορθώσεις QNAP
Άλλα προϊόντα που έλαβαν σημαντικές διορθώσεις αυτό το Σαββατοκύριακο είναι QNAP AI Core (κινητήρας AI), Κέντρο QuLog (εργαλείο διαχείρισης αρχείων καταγραφής), QTS (τυπικό λειτουργικό σύστημα για συσκευές NAS) και Ήρωας QuTS (προχωρημένη έκδοση του QTS).
Ακολουθεί μια σύνοψη των πιο σημαντικών ελαττωμάτων που επιδιορθώθηκαν σε αυτά τα προϊόντα, με βαθμολογία CVSS v4 μεταξύ 7,7 και 8,7 (υψηλή).
- CVE-2024-38647: Πρόβλημα έκθεσης πληροφοριών που θα μπορούσε να επιτρέψει στους απομακρυσμένους εισβολείς να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα και να θέσουν σε κίνδυνο την ασφάλεια του συστήματος. Το ελάττωμα επηρεάζει την έκδοση 3.4.x του QNAP AI Core και έχει επιλυθεί στην έκδοση 3.4.1 και μεταγενέστερη.
- CVE-2024-48862: Ελάττωμα που ακολουθεί τη σύνδεση που θα μπορούσε να επιτρέψει σε απομακρυσμένους μη εξουσιοδοτημένους εισβολείς να διασχίσουν το σύστημα αρχείων και να αποκτήσουν πρόσβαση ή να τροποποιήσουν αρχεία. Επηρεάζει τις εκδόσεις 1.7.x και 1.8.x του QuLog Center και διορθώθηκε στις εκδόσεις 1.7.0.831 και 1.8.0.888.
- CVE-2024-50396 και CVE-2024-50397: Λανθασμένος χειρισμός εξωτερικά ελεγχόμενων συμβολοσειρών μορφής, που θα μπορούσε να επιτρέψει στους εισβολείς να έχουν πρόσβαση σε ευαίσθητα δεδομένα ή να τροποποιήσουν τη μνήμη. Το CVE-2024-50396 μπορεί να αξιοποιηθεί εξ αποστάσεως για τον χειρισμό της μνήμης του συστήματος, ενώ το CVE-2024-50397 απαιτεί πρόσβαση σε επίπεδο χρήστη. Και τα δύο τρωτά σημεία έχουν επιλυθεί στο QTS 5.2.1.2930 και στο QuTS hero h5.2.1.2929.
Συνιστάται στους πελάτες της QNAP να εγκαταστήσουν τις ενημερώσεις το συντομότερο δυνατό για να παραμείνουν προστατευμένοι από πιθανές επιθέσεις.
Όπως πάντα, οι συσκευές QNAP δεν πρέπει ποτέ να συνδέονται απευθείας στο Διαδίκτυο και αντ’ αυτού θα πρέπει να αναπτύσσονται πίσω από ένα VPN για να αποφευχθεί η απομακρυσμένη εκμετάλλευση ελαττωμάτων.
VIA: bleepingcomputer.com
