9.5 баллов угрозы: чем рискуют маршрутизаторы и сетевые хранилища QNAP

Компания QNAP выпустила обновления безопасности, устраняющие ряд уязвимостей, включая три критические. Пользователям настоятельно рекомендуется установить исправления, чтобы избежать рисков.

Наибольшее внимание привлекли проблемы в приложении Notes Station 3, используемом в системах NAS. Уязвимость CVE-2024-38643 с рейтингом 9.3 по CVSS позволяет злоумышленникам получить несанкционированный доступ и выполнять системные функции без предварительной авторизации. Другая ошибка, CVE-2024-38645 (CVSS: 9.4) связана с серверной подделкой запросов (SSRF), что может привести к утечке данных. Эти проблемы исправлены в версии 3.9.7.

В маршрутизаторах QuRouter версии 2.4.x обнаружена критическая уязвимость CVE-2024-48860 (CVSS 9.5), позволяющая удалённым злоумышленникам выполнять команды на системе. Исправление доступно в версии 2.4.3.106, где также устранена менее серьёзная ошибка CVE-2024-48861 (CVSS: 7.3).

Также в Notes Station 3 устранены уязвимости CVE-2024-38644 (CVSS: 8.7) и CVE-2024-38646 (CVSS: 8.4) связанные с внедрением команд и доступом к данным. Их эксплуатация требует наличия учётной записи пользователя. Оценка угроз по CVSS составляет 8.7 и 8.4.

Дополнительные обновления затронули продукты QNAP AI Core, QuLog Center, а также операционные системы QTS и QuTS Hero. Среди них выделяются:

• CVE-2024-38647 (CVSS: 7.9): уязвимость, раскрывающая конфиденциальные данные в QNAP AI Core, исправлена в версии 3.4.1.
• CVE-2024-48862 (CVSS: 8.7) проблема с обходом файловой системы в QuLog Center устранена в версиях 1.7.0.831 и 1.8.0.888.
• CVE-2024-50396 (CVSS: 7.7) и CVE-2024-50397 (CVSS: 7.7) ошибки работы с форматами строк в QTS и QuTS Hero, устранены в версиях 5.2.1.2930 и h5.2.1.2929.

QNAP рекомендует не подключать чувствительные устройства напрямую к Интернету и использовать VPN для предотвращения удалённых атак.