سیستم های QNAP یک هشدار امنیتی برای 2 آسیب پذیری حیاتی تزریق کد منتشر کردند که روی ورژن های مختلفی از سیستم عامل QTS و برنامه های روی دستگاههای NAS اثر می گذارد.
اولین آسیب پذیری با شماره شناسایی CVE-2023-23368 و امتیاز 9.8 است. این آسیب پذیری یک حفره تزریق کد بوده که به مهاجم امکان اجرای دستورات دلخواه از طریق شبکه را میدهد.
ورژن های تحت تاثیر QTS توسط این آسیب پذیری امنیتی QTS 5.0.x و 4.5.x، QuTS hero h5.0.x و h4.5.x و QuTScloud c5.0.1 است.
رفع این آسیب پذیری طی نسخه های زیر انجام شده است:
• QTS 5.0.1.2376 build 20230421 and later
• QTS 4.5.4.2374 build 20230416 and later
• QuTS hero h5.0.1.2376 build 20230421 and later
• QuTS hero h4.5.4.2374 build 20230417 and later
• QuTScloud c5.0.1.2374 and later
آسیب پذیری دیگری با شماره CVE-2023-23369 با امتیاز 9 نیز می تواند توسط مهاجمان مورد بهره برداری قرار بگیرد. ورژن های تحت تاثیر این آسیب پذیری QTS 5.1.x، 4.3.6، 4.3.4، 4.3.3 و 4.2.x و Multimedia Console 2.1.x و 1.4.x و Media Streaming add-on 500.0x و 500.1.x هستند.
این آسیب پذیری در نسخه های زیر رفع شده است:
• QTS 5.1.0.2399 build 20230515 and later
• QTS 4.3.6.2441 build 20230621 and later
• QTS 4.3.4.2451 build 20230621 and later
• QTS 4.3.3.2420 build 20230621 and later
• QTS 4.2.6 build 20230621 and later
• Multimedia Console 2.1.2 (2023/05/04) and later
• Multimedia Console 1.4.8 (2023/05/05) and later
• Media Streaming add-on 500.1.1.2 (2023/06/12) and later
• Media Streaming add-on 500.0.0.11 (2023/06/16) and later
از آنجایی که دستگاههای NAS به طور معمول برای ذخیره داده استفاده می شوند، حفره های امنیتی اجرای کد و دستور می تواند تاثیرات جدی داشته باشد چرا که مهاجمان سایبری نیز به دنبال اهداف جدید برای سرقت یا رمزنگاری اطلاعات حساس آنها هستند. مهاجمان می توانند در ازای رمزگشایی یا عدم افشای اطلاعات از قربانی درخواست باج نیز داشته باشند.
در صورتیکه از این محصولات استفاده می کنید توصیه می شود حتما به روز رسانی های در دسترس را انجام دهید.
منبع:
https://www.bleepingcomputer.com