Tchajwanský výrobce síťových úložišť QNAP varuje své zákazníky před bezpečnostní chybou, která ovlivňuje jeho zařízení NAS. Kritická zranitelnost může umožnit vzdálené útoky, proto je majitelům důrazně doporučeno nainstalovat nejnovější aktualizace.
Firma nedávno odhalila v operačním systému svých zařízení novou bezpečnostní chybu, klasifikovanou stupněm závažnosti „kritický“ s hodnocením 9,8 z 10 možných. Její zneužití by v konečném důsledku mohlo znamenat zkázu vzdáleně přístupných uživatelských dat. Výrobce již vydal záplaty, které uvedený problém opravují.
Díra v NASech QNAP
Podle oficiálního bezpečnostního bulletinu se chyba evidovaná jako CVE-2022-27596 týká zařízení s operačními systémy QTS 5.0.1.2234 v sestavení 20221201 a novějším a QuTS hero h5.0.1.2248 v sestavení 20221215 a vyšším. Výrobce uvádí, že „Pokud je tato zranitelnost zneužita, umožňuje vzdáleným útočníkům injektovat škodlivý kód.“
V tuto chvíli je z pochopitelných důvodů k dispozici jen naprosté minimum informací, ze kterých vyplývá, že případné zneužití bezpečnostního nedostatku, definovaného jako „Nesprávná neutralizace speciálních prvků použitých v příkazu SQL“, není příliš složité, nevyžaduje žádné ověření a lze ho zneužít vzdáleně.
Bezpečnostní společnost Censys identifikovala 67 415 online zařízení se systémy QNAP, přičemž u 30 520 z nich se jí podařilo zjistit číslo verze operačního systému. Ukázalo se, že více než 98 % identifikovaných zařízení QNAP bylo zranitelných vůči chybě CVE-2022-27596, kterou označuje jako „nový cíl pro ransomware“. Nejvíce jich bylo v USA a Itálii.
Nejoblíbenější síťová úložiště NAS
Další oblíbené NASy
Neváhejte a aktualizujte
Zatím nejsou známy informace o tom, že by někdo zneužil uvedenou bezpečnostní trhlinu k útoku na zařízení. Nebyl ani zveřejněn důkaz konceptu (proof-of-concept). Pokud se ale informace o možnosti zneužití dostanou do internetového podsvětí, pak budou data tisíců uživatelů zařízení QNAP v extrémním nebezpečí.
Majitelé postižených zařízení by měli prostřednictvím ovládacího panelu neprodleně nainstalovat dostupné aktualizace. Na oficiálních stránkách podpory produktu lze zkontrolovat nejnovější aktualizace dostupné pro každý podporovaný model NAS.
Pro instalaci aktualizací je uživatelům doporučeno přihlásit se do QTS nebo QuTS hero jako správce, přejít do Control Panel – System – Firmware Update a v sekci Live Update zvolit Check for Update. Nakonec stačí schválit instalaci nabízených záplat.