Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Kriittisiä haavoittuvuuksia QNAP NAS -laitteissa

Haavoittuvuus25/2023CVSS 9.8CVE-2023-23368 (Ulkoinen linkki)

Julkaistu

QNAP on julkaissut korjaavia ohjelmistopäivityksiä kahteen kriittiseen haavoittuvuuteen. Haavoittuvuudet mahdollistavat hyökkääjälle haavoittuvan järjestelmän etäkäytön. Ylläpitäjiä suositellaan asentamaan korjaava ohjelmistopäivitys mahdollisimman pian.

Haavoittuvat QNAP-tuotteet ovat QTS, Multimediakonsoli, Media Streaming add-on, QuTS hero, ja QuTScloud. Tätä haavoittuvuutta hyödyntämällä hyökkääjä voi suorittaa mielivaltaisia ​​komentoja haavoittuvalle laitteelle.

QNAP-tuotteiden haavoittuvat käyttöjärjestelmät ovat QTS, QuTS Hero sekä QuTScloud. Lisäksi QNAP-tuotteiden seuraavat lisäohjelmat ovat haavoittuvia: Multimediakonsoli, Media Streaming add-on. Hyökkääjä voi suorittaa mielivaltaista koodia verkon kautta.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

Haavoittuvat ohjelmistot:
QuTS hero ja QuTScloud haavoittuvat versiot
QTS 5.0.x, 4.5.x
QuTS hero h5.0.x, h4.5.x
QuTScloud c5.0.1

QNAP ilmoitus haavoittuvuudesta QSA-23-31. (Ulkoinen linkki)

QTS haavoittuvat versiot: 
QTS 5.1.x, 4.3.6, 4.3.4, 4.3.3, 4.2.x 
Multimedia Console 2.1.x, 1.4.x 
Media Streaming add-on 500.1.x, 500.0.x

QNAP ilmoitus haavoittuvuudesta QSA-23-35. (Ulkoinen linkki)

Mistä on kysymys?

QNAP suosittelee päivittämään haavoittuvat tuotteet.

QuTS hero- ja QuTScloud -versiot, jotka korjaavat haavoittuvuuden: 
QTS 5.0.1.2376 build 20230421 tai uudempi
QTS 4.5.4.2374 build 20230416 ja uudempi
QuTS hero h5.0.1.2376 build 20230421 ja uudempi
QuTS hero h4.5.4.2374 build 20230417 ja uudempi
QuTScloud c5.0.1.2374 ja uudempi


Korjatut QTS-versiot, jotka korjaavat haavoittuvuuden: 
QTS 5.1.0.2399 build 20230515 ja uudempi
QTS 4.3.6.2441 build 20230621 ja uudempi
QTS 4.3.4.2451 build 20230621 ja uudempi
QTS 4.3.3.2420 build 20230621 ja uudempi
QTS 4.2.6 build 20230621 ja uudempi
Multimedia Console 2.1.2 (2023/05/04) ja uudempi
Multimedia Console 1.4.8 (2023/05/05) ja uudempi
Media Streaming add-on 500.1.1.2 (2023/06/12) ja uudempi
Media Streaming add-on 500.0.0.11 (2023/06/16) ja uudempi
 

CVE-2023-23368 (Ulkoinen linkki)
CVE-2023-23369 (Ulkoinen linkki)