Kriittisiä haavoittuvuuksia QNAP NAS -laitteissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittisiä haavoittuvuuksia QNAP NAS -laitteissa

6. marraskuuta 2023 klo 14.05

QNAP on julkaissut korjaavia ohjelmistopäivityksiä kahteen kriittiseen haavoittuvuuteen. Haavoittuvuudet mahdollistavat hyökkääjälle haavoittuvan järjestelmän etäkäytön. Ylläpitäjiä suositellaan asentamaan korjaava ohjelmistopäivitys mahdollisimman pian.

Haavoittuvat QNAP-tuotteet ovat QTS, Multimediakonsoli, Media Streaming add-on, QuTS hero, ja QuTScloud. Tätä haavoittuvuutta hyödyntämällä hyökkääjä voi suorittaa mielivaltaisia ​​komentoja haavoittuvalle laitteelle.

QNAP-tuotteiden haavoittuvat käyttöjärjestelmät ovat QTS, QuTS Hero sekä QuTScloud. Lisäksi QNAP-tuotteiden seuraavat lisäohjelmat ovat haavoittuvia: Multimediakonsoli, Media Streaming add-on. Hyökkääjä voi suorittaa mielivaltaista koodia verkon kautta.

Haavoittuvuuden kohde

Haavoittuvat ohjelmistot:
QuTS hero ja QuTScloud haavoittuvat versiot
QTS 5.0.x, 4.5.x
QuTS hero h5.0.x, h4.5.x
QuTScloud c5.0.1

QNAP ilmoitus haavoittuvuudesta QSA-23-31.

QTS haavoittuvat versiot: 
QTS 5.1.x, 4.3.6, 4.3.4, 4.3.3, 4.2.x 
Multimedia Console 2.1.x, 1.4.x 
Media Streaming add-on 500.1.x, 500.0.x

QNAP ilmoitus haavoittuvuudesta QSA-23-35.

Mistä on kysymys?

QNAP suosittelee päivittämään haavoittuvat tuotteet.

QuTS hero- ja QuTScloud -versiot, jotka korjaavat haavoittuvuuden: 
QTS 5.0.1.2376 build 20230421 tai uudempi
QTS 4.5.4.2374 build 20230416 ja uudempi
QuTS hero h5.0.1.2376 build 20230421 ja uudempi
QuTS hero h4.5.4.2374 build 20230417 ja uudempi
QuTScloud c5.0.1.2374 ja uudempi


Korjatut QTS-versiot, jotka korjaavat haavoittuvuuden: 
QTS 5.1.0.2399 build 20230515 ja uudempi
QTS 4.3.6.2441 build 20230621 ja uudempi
QTS 4.3.4.2451 build 20230621 ja uudempi
QTS 4.3.3.2420 build 20230621 ja uudempi
QTS 4.2.6 build 20230621 ja uudempi
Multimedia Console 2.1.2 (2023/05/04) ja uudempi
Multimedia Console 1.4.8 (2023/05/05) ja uudempi
Media Streaming add-on 500.1.1.2 (2023/06/12) ja uudempi
Media Streaming add-on 500.0.0.11 (2023/06/16) ja uudempi
 

CVE-2023-23368
CVE-2023-23369

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.