Около 450 тыс. сетевых хранилищ QNAP уязвимы ко взлому

Около 450 тыс. сетевых хранилищ QNAP уязвимы ко взлому

Эксплуатация уязвимостей позволяет злоумышленнику перехватить контроль над устройствами.

image

Тайваньский исследователь безопасности Генри Хуань опубликовал подробности о трех уязвимостях ( CVE-2019-7192, CVE-2019-7194 и CVE-2019-7195 ) в прошивке сетевых хранилищ (NAS) QNAP. Проблемы содержатся в приложении для создания фотоальбомов Photo Station, которое поставляется со всеми последними версиями систем QNAP. Эксплуатация уязвимостей позволяет злоумышленнику перехватить контроль над устройствами.

Как сообщил специалист, приложение Photo Station установлено примерно на 80% всех сетевых хранилищ QNAP, что по результатам поисковых запросов Shodan составляет примерно 450 тыс. устройств.

Хуань опубликовал технические сведения о трех из четырех уязвимостей, обнаруженных им в устройствах QNAP. Три из них затрагивают приложение Photo Station, а четвертая (CVE-2019-7193) — приложение файлового менеджера QTS. Все проблемы получили оценку в 9,8 балла по шкале CVSS.

Три уязвимости в Photo Station можно объединить в цепочку с целью обойти аутентификацию, внедрить вредоносный код в PHP-сессию приложения, а затем установить web-оболочку на уязвимых устройствах. Поскольку Photo Station работает с привилегиями суперпользователя, злоумышленники могут использовать данные уязвимости для перехвата контроля над сетевыми хранилищами QNAP.

Эксперт сообщил о своих находках QNAP в июне прошлого года, и в ноябре компания выпустила исправления, устраняющие уязвимости.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle