Η QNAP προειδοποιεί τους πελάτες να εγκαταστήσουν ενημερώσεις υλικολογισμικού QTS και QuTS που διορθώνουν μια κρίσιμη ευπάθεια ασφαλείας που επιτρέπει στους απομακρυσμένους εισβολείς να εισάγουν κακόβουλο κώδικα σε συσκευές QNAP NAS.
Η ευπάθεια παρακολουθείται ως CVE-2022-27596 και αξιολογείται από την εταιρεία ως «Κρίσιμη» (βαθμολογία CVSS v3: 9,8), επηρεάζοντας τις εκδόσεις QTS 5.0.1 και QuTS hero h5.0.1 του λειτουργικού συστήματος.
“Έχει αναφερθεί ότι μια ευπάθεια επηρεάζει συσκευές QNAP που εκτελούν QTS 5.0.1 και QuTS hero h5.0.1. Εάν γίνει εκμετάλλευση, αυτή η ευπάθεια επιτρέπει στους απομακρυσμένους εισβολείς να εισάγουν κακόβουλο κώδικα”, προειδοποιεί η συμβουλευτική για την ασφάλεια QNAP.
Ο πωλητής δεν έχει αποκαλύψει πολλές λεπτομέρειες σχετικά με την ευπάθεια ή τις δυνατότητες εκμετάλλευσής του, αλλάη πύλη NIST το περιγράφει ως ελάττωμα SQL injection.
Τα ελαττώματα της έγχυσης SQL επιτρέπουν στους εισβολείς να στέλνουν ειδικά δημιουργημένα αιτήματα σε ευάλωτες συσκευές για να τροποποιούν τα νόμιμα ερωτήματα SQL για να εκτελούν απροσδόκητη συμπεριφορά.
Επιπλέον, η QNAP κυκλοφόρησε ένα αρχείο JSON που περιγράφει τη σοβαρότητα της ευπάθειας, γεγονός που υποδηλώνει ότι είναι εκμεταλλεύσιμο σε επιθέσεις χαμηλής πολυπλοκότητας από απομακρυσμένους εισβολείς, χωρίς να απαιτείται αλληλεπίδραση χρήστη ή προνόμια στη στοχευμένη συσκευή.
Η QNAP λέει ότι οι συσκευές των χρηστών που λειτουργούν με QTS και QuTS hero θα πρέπει να αναβαθμιστούν στις ακόλουθες εκδόσεις για να παραμείνουν ασφαλείς:
- QTS 5.0.1.2234 build 20221201 και μεταγενέστερη
- QuTS hero h5.0.1.2248 build 20221215 και νεότερη έκδοση
Για να εκτελέσουν την ενημέρωση, οι πελάτες μπορούν να συνδεθούν στις συσκευές τους ως διαχειριστής και να μεταβούν στο “Πίνακας Ελέγχου → Σύστημα → Ενημέρωση υλικολογισμικού.”
Σύμφωνα με το “Ζωντανή ενημέρωση ενότητα “, κάντε κλικ στο “Ελεγχος για ενημερώσεις” και περιμένετε να ολοκληρωθεί η λήψη και η εγκατάσταση.
Εναλλακτικά, οι χρήστες του QNAP μπορούν να κάνουν λήψη της ενημέρωσης από Κέντρο λήψης του QNAP αφού επιλέξουν τον σωστό τύπο και μοντέλο προϊόντος και το εφαρμόσουν με μη αυτόματο τρόπο στις συσκευές τους.