Компания QNAP Systems, ведущий производитель сетевых хранилищ данных, выпустила критические обновления безопасности для своих операционных систем QTS и QuTS Hero. Патчи устраняют ряд серьезных уязвимостей, которые были продемонстрированы специалистами по информационной безопасности на престижном хакерском соревновании Pwn2Own Ireland осенью 2024 года.
Критические уязвимости и их потенциальные последствия
Наиболее опасной среди обнаруженных проблем является уязвимость CVE-2024-50393, получившая 8,7 баллов по шкале CVSS. Эксплуатация данной уязвимости позволяет злоумышленникам удаленно выполнять произвольные команды на затронутых устройствах, что может привести к полной компрометации системы. Вторая критическая уязвимость, CVE-2024-48868 (также 8,7 баллов CVSS), связана с возможностью CRLF-инъекции, позволяющей модифицировать данные приложения через манипуляции с HTTP-заголовками.
Выпущенные обновления и затронутые версии
Исправления включены в следующие версии программного обеспечения:
— QTS 5.1.9.2954 build 20241120
— QTS 5.2.2.2950 build 20241114
— QuTS Hero h5.1.9.2954 build 20241120
— QuTS Hero h5.2.2.2952 build 20241116
Дополнительные исправления безопасности
В обновлениях также устранена уязвимость CVE-2024-48865 (7,3 балла CVSS), связанная с некорректной проверкой сертификатов, которая могла быть использована злоумышленниками в локальной сети. Параллельно с этим был выпущен патч для QNAP License Center (версия 1.9.43), устраняющий уязвимость CVE-2024-48863 (7,7 баллов CVSS), которая также позволяла выполнять удаленные команды на уязвимых устройствах.
Учитывая критичность обнаруженных уязвимостей и потенциальные риски для безопасности корпоративных данных, администраторам систем настоятельно рекомендуется незамедлительно установить последние обновления безопасности на все устройства QNAP. Регулярное обновление программного обеспечения и мониторинг новых уязвимостей остаются ключевыми элементами обеспечения информационной безопасности сетевой инфраструктуры.
