CVE-2023-50358: один zero-day, два разных мнения

Специалисты по сетевым хранилищам из QNAP столкнулись с серьёзной проблемой безопасности, которая вызвала немало вопросов в профессиональном сообществе. Речь идёт о двух новых уязвимостях , обнаруженных в начале ноября. Одна из них, с идентификатором CVE-2023-50358 , и вовсе является zero-day брешью.

Примечательно, что сама компания QNAP оценила CVE-2023-50358 как угрозу средней степени серьёзности (5.8 по шкале CVSS) из-за высокой сложности реализации и незначительного эффекта, в то время как исследователи из Palo Alto Networks охарактеризовали её как критическую , с низкой сложностью реализации и мощным воздействием, призывая затронутых пользователей срочно защитить свои устройства Интернета вещей.

Столь весомые различия в оценке уязвимости вызвали определённую путаницу среди клиентов QNAP. Национальная база данных уязвимостей США (NVD) на сегодняшний день всё ещё работает над независимой оценкой серьёзности уязвимости.

CVE-2023-50358 связана с инъекцией команд в компоненте quick.cgi прошивки QTS, используемой на большинстве NAS-устройств от QNAP. Эксплуатация уязвимости позволяет выполнять в системе произвольные команды.

Исследования Palo Alto показали, что уязвимыми к CVE-2023-50358 являются 289 665 IP-адресов, среди которых наибольшее число обнаружено в Германии и США.

Тем временем, QNAP уведомила и о второй уязвимости, CVE-2023-47218 , которая была обнаружена исследователем из Rapid7. Она также связана с инъекцией команд и оценена на 5.8 баллов по шкале CVSS.

Подробности о различиях между уязвимостями и специфические рекомендации по обновлению разных версий прошивки остаются не до конца ясными из-за скудности технических деталей в рекомендациях от QNAP.

Чтобы не ломать голову почём зря, рекомендуется просто обновить свои устройства до самой последней версии ПО, ведь необходимые исправления уже выпущены. Хотя в рекомендациях QNAP и предоставлены некоторые меры по временному смягчению последствий .