Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

QNAP łata kolejne dwie krytyczne podatności

14 października 2020, 18:42 | W biegu | komentarze 3

Producent urządzeń sieciowych QNAP poinformował niedawno, że łata dwie krytyczne podatności (CVE-2020-2506 oraz CVE-2020-2507) w swoim oprogramowaniu ‘Helpdesk’. 

Czym jest Helpdesk?

Helpdesk jest domyślnym rozszerzeniem do systemu operacyjnego urządzeń QNAP, pozwalającym na zdalne podłączenie do urządzenia przez pracownika Supportu. Według oficjalnej dokumentacji, użytkownik może zezwolić na zdalne podłączenie do swojego urządzenia, aby diagnozować i naprawiać usterki. 

helpdesk

W czym tkwi problem?

Podatność wydaje się dość ciekawa, ale na razie nie znamy szczegółów ataku (brak publicznego PoC). Wiemy tylko tylko tyle, że badacz, Jose Antonio Pérez Piedra ominął zdalną kontrolę dostępu do urządzenia, która umożliwiła mu przejęcie pełnej kontroli nad urządzeniem. 

If exploited, this improper access control vulnerability could allow attackers to obtain control of a QNAP device.

W tym momencie w internecie można znaleźć około 10.000 urządzeń QNAP. 

Nie jest to pierwszy tego typu atak na wtyczkę Helpdesk. W czerwcu QNAP także łatał krytyczną podatność (CVE-2020-2500

This improper access control vulnerability in Helpdesk allows attackers to get control of QNAP Kayako service. Attackers can access the sensitive data on QNAP Kayako server with API keys.

a we wrześniu kolejne trzy podatności Helpdesk typu Medium (CVE-2018-19946 | CVE-2018-19947 | CVE-2018-19948)

Nie jest to jedyny problem QNAPa w ostatnim czasie. Miesiąc temu było głośno o ataku Ransomware typu AgeLocker. W tym przypadku targetowany jednak był dodatek Photo Station

Jak się pewnie domyślacie, są już dostępne aktualizacje do Helpdesk’a (najnowsza wersja to 3.0.3) ale jak zawsze, gorąco polecamy NIE WYSTAWIAĆ swojego urządzenia QNAP do sieci internet o ile nie jest to konieczne. Jeśli już musicie to zrobić, to lepiej skorzystać z klienta VPN. 

Są też tacy użytkownicy, którzy po każdej aktualizacji systemu usuwają ‘zbędne’ dodatki np. Helpdesk ;) 

–Adam Góra

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Mario

    Dokładnie tak jak w uwadze na końcu. Mamy sporo NAS QNAP w firmie, nie są co prawda wystawione do internetu, ale podstawowa sprawa to aktualizacja firmware i wyłączanie niepotrzebnych usług. Takie moduły jak helpdesk, Photo station, Mulimedia console itd. idą od razu out. W produkcji raczej rzadko kiedy takie funkcjonalności są wymagane.

    Odpowiedz
  2. Jarek

    Qnap ma moim zdaniem coraz więcej problemów (no, częste aktualizacje niedorobionych aktualizacji), ostatnio straciłem resztki zaufania do tego systemu, kiedy mój qnap rozwalił większość kontenerów podczas nieudanej zmianie wielkości partycji. Przygoda z HelpDesk zaczęła się od przesyłania faktury (’bo maszyna nie z polskiej dystrybucji’, a kupiłem w PL), a skończyła się po miesiącu zadawania głupich pytań odpowiedzią 'nic nie możemy pomóc, należy postawić kontenery od nowa’. Także odradzam qnap, zarówno od strony bezpieczeństwa, jak i stabilności użytkowania oraz obsługi klienta. Pozdrawiam, Jarek.

    Odpowiedz
    • Filip

      Ja mam mieszane uczucia. Z jednej strony, czasem ten support fajnie sie sprawdza. Z drugiej, np. nie moge uzyc portu 53 dla kontenera, wiec musialem wywalic serwer DNS po ktorejs tam aktualizacji.

      Odpowiedz

Odpowiedz