Компанія QNAP Systems, визнаний лідер у виробництві мережевих систем зберігання даних (NAS), оприлюднила критично важливі оновлення безпеки для своїх операційних систем QTS та QuTS Hero. Випуск патчів став відповіддю на виявлення серйозних вразливостей під час престижних змагань з кібербезпеки Pwn2Own Ireland 2024.
Аналіз критичних вразливостей та їх потенційний вплив
Найбільшу загрозу становить вразливість CVE-2024-50393 з критичним показником 8,7 за шкалою CVSS. Експлуатація цієї вразливості надає зловмисникам можливість віддаленого виконання довільного коду на вразливих пристроях, що може призвести до повного компрометування системи та втрати конфіденційних даних. Не менш небезпечною є вразливість CVE-2024-48868 (також 8,7 CVSS), пов’язана з CRLF-ін’єкцією, яка дозволяє маніпулювати даними через модифікацію HTTP-заголовків.
Детальний огляд оновлень безпеки
Компанія випустила виправлення для наступних версій програмного забезпечення:
– QTS 5.1.9.2954 build 20241120
– QTS 5.2.2.2950 build 20241114
– QuTS Hero h5.1.9.2954 build 20241120
– QuTS Hero h5.2.2.2952 build 20241116
Додаткові вразливості та їх усунення
У пакеті оновлень також усунуто вразливість CVE-2024-48865 (7,3 CVSS), яка виникала через некоректну валідацію сертифікатів та могла бути використана для атак у локальній мережі. Окремо випущено оновлення для QNAP License Center (версія 1.9.43), що закриває вразливість CVE-2024-48863 (7,7 CVSS), яка також створювала ризик віддаленого виконання команд.
Рекомендації щодо захисту систем
Для забезпечення належного рівня захисту корпоративних даних рекомендується:
– Негайно встановити останні оновлення безпеки
– Регулярно перевіряти наявність нових патчів
– Налаштувати автоматичне оновлення системи безпеки
– Впровадити багаторівневу систему захисту даних
Враховуючи серйозність виявлених вразливостей та потенційні наслідки їх експлуатації, адміністраторам систем необхідно терміново впровадити запропоновані оновлення на всіх пристроях QNAP. Своєчасне оновлення програмного забезпечення та постійний моніторинг загроз залишаються фундаментальними елементами стратегії кібербезпеки для захисту критичної інфраструктури зберігання даних.
