SK-CERT Bezpečnostné varovanie V20240312-06
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
9.8 |
Identifikátor |
QNAP Systems QTS, QuTS hero, QuTScloud a myQNAPcloud – kritická bezpečnostná zraniteľnosť |
Popis |
Spoločnosť QNAP Systems vydala bezpečnostné aktualizácie na svoje produkty QTS, QuTS hero, QuTScloud a myQNAPcloud, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých jedna je označená ako kritická. Kritická bezpečnostná zraniteľnosť s označením CVE-2024-21899 spočiva v nedostatočnej implementácii mechanizmov autentifikácie a umožňuje vzdialenému, neautentifikovanému útočníkovi získať úplnú kontrolu nad systémom. Ostatné bezpečnostné zraniteľnosti možno zneužiť na vykonanie škodlivého kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
9.3.2024 |
CVE |
CVE-2024-21899, CVE-2024-21900, CVE-2024-21901 |
IOC |
– |
Zasiahnuté systémy |
QTS vo verzii staršej ako 5.1.3.2578 build 20231110 QTS vo verzii staršej ako 4.5.4.2627 build 20231225 QuTS hero vo verzii staršej ako h5.1.3.2578 build 20231110 QuTS hero vo verzii staršej ako h4.5.4.2626 build 20231225 QuTScloud vo verzii staršej ako c5.1.5.2651 myQNAPcloud vo verzii staršej ako 1.0.52 (2023/11/24) |
Následky |
Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
Odporúčania |
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://www.qnap.com/en/security-advisory/qsa-24-09 https://securityaffairs.com/160217/iot/qnap-nas-products-flaws.html |
« Späť na zoznam