Qnap-NAS: Door een kritieke kwetsbaarheid kan kwaadaardige code worden geïnjecteerd

Qnap-NAS: Door een kritieke kwetsbaarheid kan kwaadaardige code worden geïnjecteerd

Met bijgewerkte firmware vult Qnap een kritiek beveiligingsgat in netwerkopslagapparaten met de kampioen QTS- en QuTS-besturingssystemen. Het bedrijf stelt dat aanvallers via de kwetsbaarheid hun eigen code kunnen injecteren en uitvoeren.

Alle andere details over de kwetsbaarheid ontbreken Beveiligingsadvies van Qnap. De beveiligingsgerelateerde bug treft echter de besturingssystemen NAS QTS 5.0.1 en QuTS hero h5.0.1. De fabrikant classificeert het gevaar als: erg belangrijk a, met een CVSS-score 9.8.

De CVE-vermelding voor de kwetsbaarheid heeft het nummer CVE-2022-27596 gekregen. waarin De CVE-vermelding is de notitieDe kwetsbaarheid wordt veroorzaakt door onvoldoende filtering van bepaalde elementen die worden gebruikt in de SQL-opdracht. De interpretatie is gebaseerd op het opsommingsschema Common Vulnerabilities (CWE). Het typenummer van de kwetsbaarheid is CWE-89 Bon. De beveiligingskennisgeving noemt ook geen specifieke aanvalsvector voor hoe kwaadwillende actoren de kwetsbaarheid zouden kunnen misbruiken.

Versie-updates QTS 5.0.1.2234 Build 20221201 Leuk vinden QuTS held h5.0.1.2248 build 20221215 Dat zou het beveiligingslek moeten stoppen. Beheerders kunnen het vinden door naar hun NAS-model te zoeken op Qnap-ondersteuningswebpagina.

Als alternatief kunnen beheerders ook rechtstreeks controleren op de firmware-update op de getroffen apparaten in het Configuratiescherm onder Systeem – Firmware-update onder Live Update door op Controleren op updates te klikken en deze onmiddellijk te installeren. Qnap trok onlangs de aandacht vanwege een kritieke kwetsbaarheid in de optioneel installeerbare Photo Station-component, waardoor de DeadBolt-ransomware zich verspreidde.


(DMK)

naar de homepage

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *