Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Dwie krytyczne podatności w QNAP. Można zdalnie przejmować kontrolę nad urządzeniami.
Szczegóły dostępne są tutaj oraz tutaj. Jak czytamy:
(…) luka umożliwiająca wstrzykiwanie poleceń systemu operacyjnego dotyczy kilku wersji systemu operacyjnego QNAP. W przypadku wykorzystania podatność może umożliwić zdalnym atakującym wykonywanie poleceń za pośrednictwem sieci.
An OS command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow remote attackers to execute commands via a network.
Innymi słowy jest to RCE (czy precyzyjniej – command injection) umożliwiający na system operacyjny bez uwierzytelnienia. Do wykorzystania podatności najpewniej wystarczy jedynie dostęp sieciowy do webowego panelu administracyjnego.
Łatajcie się do wersji wskazanych w linkach na początku tego wpisu.
~ms
QNAP aktualizuje się sam, o ile nie są do niego podłączeni klienci po iSCSI (bo restart rozłączy i może zatrzymać/uszkodzić VM). Jak są, to męczy e-mailami. Oczywiście warto skonfigurować wysyłanie e-mail z QNAPa, przynajmniej na lokalny SMTP.
Tak sie automatycznie aktualizuje, ze sie nie aktualizuje. Jeszcze ani razu mi sie nie zaktualizowal, chociaz za kazdym razem tworzy sobie zadanie aktualizacji. Reczna aktualizacje tez nie mozna sobie od tak wlaczyc bo sie pluje, ze lepiej jak najpierw zrobie restart, a potem musze czekac, az sie ponownie uruchomi, zeby kliknac wlasciwa aktualizacje. W ogole to urzadzenie to dno, jest potwornie wolne, wszystkie aplikacje maja kupe bledow, co chwile w ktorejs przestaje cos dzialac. Zglaszanie bledow i obsluga klienta jest jakas uposledzona. W urzadzeniu jest mozliwosc rozszerzania karta pci express, jednak producent wymusza uzywanie ich karty, ktora kosztuje jakies chore pieniadze. Na nieautoryzowanej karcie jest komunikat, ze nie moga zagwarantowac bezproblemowej obslugi wiec moge sobie co najwyzej dolaczony tak dysk ustawic jako pamiec cache. O wszystkim sie dowiedzialem jak juz wszystko pokupowalem. Dno dno dno. Nigdy wiecej nie kupie.
Czy ktokolwiek wystawia qnapa na świat, bez automatycznych aktualizacji i notyfikacji dla administratora?
Podatności załatane w maju tego roku? Ten artykuł był aktualny pół roku temu
Kliknąłeś na linki? Widać nie. Release date : November 4, 2023
No właśnie nie do końca jest tak, że ten release z 4.11.2023 affectuje wszystkie wersje.
Np. pod drugim linkiem w tabelce pod 'Fixed Version’
widnieje m.in 'QTS 5.1.0.2399 build 20230515 and later’
który to wydany został w maju więc jak ktoś go wtedy zainstalował to temat go nie dotyczy.
Ja tu czegoś nie rozumiem:
1. W pierwszym linku jest napisane, że problem rozwiązano w wersji: QTS 5.0.1.2376 build 20230421 and later
2. W drugim linku, że problem rozwiązano w wersji: QTS 5.1.0.2399 build 20230515 and later
3. Na stronie QNAP aktualna wersja to: QTS 5.1.2.2533 build 20230926 z 2023-10-04
4 U mnie w NAS (TS-473) jest wersja QTS 5.1.2.2533 ale z 2023-09-26
Koś mi powie o co chodzi? Mam aktualną ale z wcześniejszą datą niż wydanie na qnap.com. A gdzie są te nowsze co łatają system?
Pozdrawiam
Mam QTS 5.1.x ostatnia około mc. temu,
próba manualnego pobrania informacji o dost. aktualizacji dla urządzenia kończy się komunikatem, że nie ma nowszych wersji :O
Aktutalizuje sie apki czy caly OS? Bo ja widzie tylko apki do aktualizacji u siebie