SK-CERT Bezpečnostné varovanie V20210422-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
9.8 |
Identifikátor |
QNAP QTS a QuTS produkty – kritické bezpečnostné zraniteľnosti |
Popis |
Spoločnosť QNAP vydala bezpečnostné aktualizácie na produkty QTS a QuTS, ktoré opravujú dve kritické bezpečnostné zraniteľnosti. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zasielania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi. |
Dátum prvého zverejnenia varovania |
16.4.2021 |
CVE |
CVE-2020-2509,CVE-2020-36195 |
IOC |
– |
Zasiahnuté systémy |
QTS vo verzii staršej ako 4.5.2.1566 Build 20210202 QTS vo verzii staršej ako 4.5.1.1495 Build 20201123 QTS vo verzii staršej ako 4.3.6.1620 Build 20210322 QTS vo verzii staršej ako 4.3.4.1632 Build 20210324 QTS vo verzii staršej ako 4.3.3.1624 Build 20210416 QTS vo verzii staršej ako 4.2.6 Build 20210327 QuTS hero vo verzii staršej ako h4.5.1.1491 build 20201119 QTS vo verzii staršej ako 4.3.3: Media Streaming add-on vo verzii staršej ako 430.1.8.10 QTS vo verzii staršej ako 4.3.6: Media Streaming add-on vo verzii staršej ako 430.1.8.8 QTS vo verzii staršej ako 4.4.x: Multimedia Console vo verzii staršej ako 1.3.4 QTS vo verzii staršej ako 4.3.3.1624 Build 20210416 QTS vo verzii staršej ako 4.3.6.1620 Build 20210322 |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
Odporúčania |
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam