Не играй в Sudo-рулетку: QNAP предупреждает об уязвимости в NAS-устройствах

Не играй в Sudo-рулетку: QNAP предупреждает об уязвимости в NAS-устройствах

Выявленная уязвимость затрагивает сразу несколько продуктов компании, в опасности десятки тысяч устройств.

image

Тайваньский производитель оборудования QNAP предупреждает клиентов о необходимости защитить свои сетевые хранилища (NAS) на базе Linux от критической уязвимости повышения привилегий Sudo. Уязвимость, отслеживаемая как CVE-2023-22809 , была обнаружена исследователями безопасности Synacktiv, которые описывают её как «обход политики sudoers в Sudo 1.9.12p1 при использовании sudoedit».

Успешная эксплуатация на неисправленных устройствах с Sudo 1.8.0–1.9.12p1 может позволить злоумышленникам повысить свои привилегии, отредактировав неавторизованные файлы после добавления произвольных записей в список обрабатываемых файлов, и беспрепятственно выполнить вредоносный код.

Уязвимость затрагивает операционные системы QTS, QuTS hero, QuTScloud и устройства QVR Pro. Для первых двух уже вышел исправляющий патч. Сама компания QNAP в своём бюллетене безопасности пишет следующее: «Пожалуйста, регулярно проверяйте наличие системных обновлений и незамедлительно обновляйтесь, как только новая версия станет доступна».

Чтобы обновить свой QTS, QuTS hero или QuTScloud необходимо войти в систему из-под профиля администратора, перейти в «Панель управления»> «Система»> «Обновление прошивки», а затем выбрать пункт «Проверить наличие обновлений» в разделе «Обновление в реальном времени».

Хотя уязвимость CVE-2023-22809 не отмечена как активно используемая в реальных условиях, из-за серьезности уязвимости (CVSS: 7,8 баллов) клиентам рекомендуется как можно скорее установить доступные обновления безопасности.

В прошлых известных атаках на устройства QNAP NAS использовались программы-вымогатели DeadBolt и eCh0raix, эксплуатирующие уязвимости для шифрования данных на устройствах, подключенных к Интернету.

Также QNAP объявила об исправлении множества других уязвимостей со средней степенью критичности, влияющих на её продукты, в том числе обнаруженных в OpenSSL, Samba и собственных операционных системах компании.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!