Сетевые хранилища в зоне риска: два новых бага в оборудовании QNAP ставят вашу приватность под угрозу

Компания QNAP, один из лидеров по производству сетевых хранилищ (NAS), обнаружила две критических уязвимости внедрения команд в нескольких версиях операционной системы QTS. Оба бага позволяют проводить удаленные сетевые атаки, что ставит безопасность данных под угрозу.

Первая уязвимость с кодом CVE-2023-23368 , получившая оценку критичности 9.8 баллов из 10, затрагивает следующие версии QTS: 5.0.x и 4.5.x, QuTS hero h5.0.x и h4.5.x, а также QuTScloud c5.0.1.

Вторая уязвимость, CVE-2023-23369 , имеет несколько меньший уровень риска - 9.0, но также может быть эксплуатирована удаленно. Она касается QTS версий 5.1.x, 4.3.6, 4.3.4, 4.3.3 и 4.2.x, а также Multimedia Console 2.1.x и 1.4.x, дополнения Media Streaming версий 500.1.x и 500.0.x.

Патчи уже выпущены – решить обе проблемы поможет их установка.

Администраторы систем могут обновить QTS, QuTS hero или QuTScloud, перейдя в панель управления, затем в системные настройки и выбрав «обновление прошивки». Патчи также можно загрузить вручную с веб-сайта QNAP . Multimedia Console обновляется через приложение App Center, если доступна более свежая версия. Та же схема актуальна для Media Streaming add-on.

Обычно устройства NAS используются для хранения больших объемов данных, поэтому уязвимости, допускающие удаленное выполнение команд, могут иметь серьезные последствия для конфиденциальности владельцев. Незащищенные хранилища – удобная мишень для вымогателей, шпионов и других киберпреступников.

Ранее устройства QNAP уже становились целью вымогательского ПО. Год назад группировка Deadbolt использовала ранее неизвестную уязвимость NAS-систем, доступных через интернет, в своих кампаниях.

Пользователям рекомендуют принять меры как можно скорее, чтобы минимизировать риски.