QNAP Zero-Days jätab küberrünnakute suhtes haavatavaks 80 XNUMX seadet

Taasavaldanud Platon

järgijaid: 0

Paar nullpäeva turvaauku mitmes Quality Network Appliance Provider (QNAP) operatsioonisüsteemis (OS) võrguga ühendatud salvestusseadmetele (NAS) mõjutavad hinnanguliselt 80,000 XNUMX seadet kogu maailmas. Need jäävad parandamata kahel neljast mõjutatud operatsioonisüsteemist.

QNAP pakub varustust ja tarkvara asjade Interneti (IoT) salvestamiseks, võrgu loomiseks ja nutikaks videoks. Sternumi teadlaste avastanud operatsioonisüsteemi vead on mälu juurdepääsu rikkumised, mis võivad põhjustada ebastabiilset koodi ja pakkuda autentitud küberkurjategijale teed suvalise koodi täitmiseks.

CVE-2022-27597 ja CVE-2022-27598 all jälgitavad haavatavused mõjutavad QTS-i, QuTS-i kangelast, QuTScloudi ja QVP OS-i, Sternumi järgi, ja need on parandatud QTS versioonis 5.0.1.2346 build 20230322 (ja uuemates) ja QuTS hero versioonides h5.0.1.2348 build 20230324 (ja uuemates). QuTScloud ja QVP OS jäävad paigata, kuid QNAP ütles, et "parandab kiiresti" vead.

Sternumi teadlased selgitavad, et mälule juurdepääsu rikkumised mõjutavad QNAP-seadmete jõudlust ja turvalisust.

"Toimivuse seisukohast võivad need põhjustada stabiilsusprobleeme ja ettearvamatut koodikäitumist," räägib Sternumi teadusuuringute turvadirektor Amit Serper Dark Readingile leidudest. "Turvalisuse seisukohast saab neid kasutada pahatahtliku ohuteguri suvaliseks koodi täitmiseks."

. QNAP turvanõuanne lisab: "Kui haavatavus ära kasutatakse, võimaldab see kaugautentitud kasutajatel saada salajasi väärtusi."

Kuigi vead on hinnatud "madala raskusastmega" ja siiani pole Sternumi teadlased näinud, et neid looduses ära kasutataks, on plaastri kiire paigaldamine oluline - QNAP kasutajad on jätkuvalt küberkurjategijate lemmiksihtmärk.

Miks on QNAP Cybertacker Catnip?

. DeadBolt lunavaragrupp Eelkõige oli näha, et see kasutas ära mitmeid nullpäevaseid haavatavusi laiaulatuslikud küberkampaaniad QNAP-i vastu kasutajad ainuüksi 2022. aastal, pinnale regulaarselt mais, juunis ja septembris..

Vulcan Cyberi vanemtehnilise inseneri Mark Parkini sõnul on DeadBolt QNAP-i vigade otsimiseks ja ärakasutamiseks selgelt välja töötatud, eelistatavalt kriitilised nullpäevad.

"Mõnikord öeldakse, et sihtmärgist ühe haavatavuse leidmine paneb inimesed rohkem otsima," selgitab Parkin. "Probleem on selles, et nad leiavad rohkem, kui nad välja näevad. Peaaegu paneb mõtlema, kas ründajatel pole juurdepääsu lähtekoodile või mõnel muul viisil siseteabe saamiseks.

Kui kokkumängukahtlused kõrvale jätta, on organisatsioonide ülesanne tagada, et nende kõrgelt sihitud QNAP-süsteemid oleksid ajakohased, eriti arvestades, et uued vead ilmnevad teatud sagedusega. Lisaks Sternumi värskeimatele leidudele said veebruaris kasutajad QNAP QTS OS teatati kriitilisest SQL-i sisestamise probleemist CVSS-i skooriga 9.8. Avalikustamine laiendab rünnaku pinda veelgi.

Uusimate haavatavuste korral peaksid kasutajad, kelle süsteemid puuduvad saadavaloleva paigata, kasutama tugevat lõpp-punkti tuvastamise ja reageerimise (EDR) lahendust ning otsima kompromissi märke. Kuna küberründajad vajavad autentimist, võib haavatavatele süsteemidele juurdepääsu kontrollimine ja täiendava autentimiskaitse pakkumine samuti aidata rünnakut leevendada.

Üks teadlane hoiatab, et isegi juhtudel, kui plaastrid on saadaval, võib seadmete tõeline lukustamine nõuda mõne ettevõtte mõtteviisi muutmist.

"QNAP-i seadmed on küberkurjategijate jaoks väga atraktiivsed, kelle strateegia on küsida suurelt ohvritelt väikest summat,“ ütleb Viakoo tegevjuht Bud Broomhead. "Kuna QNAP-seadmeid koos paljude teiste asjade Interneti-seadmetega hallatakse suures osas väljaspool IT-d, on need sageli valesti seadistatud, tulemüüri poolt kaitsmata ja paigata.

Ta lisab: "Need seadmed on sageli ettevõtte IT- ja turbemeeskondade jaoks nähtamatud ning neid ei auditeerita ega jälgita, kui need ei vasta nõuetele, näiteks kuna neil on aegunud ja ebaturvaline püsivara."