Компания QNAP выпустила обновления безопасности, устраняющие ряд уязвимостей, включая три критические. Пользователям настоятельно рекомендуется установить исправления, чтобы избежать рисков.
Наибольшее внимание привлекли проблемы в приложении Notes Station 3, используемом в системах NAS. Уязвимость CVE-2024-38643 с рейтингом 9.3 по CVSS позволяет злоумышленникам получить несанкционированный доступ и выполнять системные функции без предварительной авторизации. Другая ошибка, CVE-2024-38645(CVSS: 9.4) связана с серверной подделкой запросов (SSRF), что может привести к утечке данных. Эти проблемы исправлены в версии 3.9.7.
В маршрутизаторах QuRouter версии 2.4.x обнаружена критическая уязвимость CVE-2024-48860(CVSS 9.5), позволяющая удалённым злоумышленникам выполнять команды на системе. Исправление доступно в версии 2.4.3.106, где также устранена менее серьёзная ошибка CVE-2024-48861(CVSS: 7.3).
Также в Notes Station 3 устранены уязвимости CVE-2024-38644 (CVSS: 8.7) и CVE-2024-38646 (CVSS: 8.4) связанные с внедрением команд и доступом к данным. Их эксплуатация требует наличия учётной записи пользователя. Оценка угроз по CVSS составляет 8.7 и 8.4.
Дополнительные обновления затронули продукты QNAP AI Core, QuLog Center, а также операционные системы QTS и QuTS Hero. Среди них выделяются:
- CVE-2024-38647(CVSS: 7.9): уязвимость, раскрывающая конфиденциальные данные в QNAP AI Core, исправлена в версии 3.4.1.
- CVE-2024-48862(CVSS: 8.7) проблема с обходом файловой системы в QuLog Center устранена в версиях 1.7.0.831 и 1.8.0.888.
- CVE-2024-50396(CVSS: 7.7) и CVE-2024-50397 (CVSS: 7.7) ошибки работы с форматами строк в QTS и QuTS Hero, устранены в версиях 5.2.1.2930 и h5.2.1.2929.
QNAP рекомендует не подключать чувствительные устройства напрямую к Интернету и использовать VPN для предотвращения удалённых атак.