Быстрая покупка VPN для России через удобный Телеграмм-бот:
|
Похоже, компания решила более ответственно подойти к вопросам безопасности
Не успели мы опубликовать вчерашнюю новость о том, что исследователи Watchtower Labs обвинили компанию в QNAP в медленном реагировании на ответственное раскрытие уязвимостей, уже сегодня стало известно, что NAS-гигант, похоже, встал на путь истинный, опубликовав сразу 5 исправлений для затронутых операционных систем QTS и QuTS hero.
Среди исправленных уязвимостей:
- CVE-2024-21902. Неправильное назначение разрешений, позволяющее аутентифицированным пользователям читать или изменять ресурсы через сеть.
- CVE-2024-27127. Уязвимость двойного освобождения памяти, позволяющая выполнять произвольный код через сеть.
- CVE-2024-27128, CVE-2024-27129 и CVE-2024-27130. Набор уязвимостей переполнения буфера, позволяющих выполнять произвольный код через сеть.
Все уязвимости требуют для эксплуатации наличия учётной записи на устройствах NAS, все были исправлены в обновлениях QTS 5.1.7.2770 и QuTS hero h5.1.7.2770. Обнаруживший и сообщивший о проблемах исследователь Алиц Хаммонд из WatchTowr Labs получил признание от компании QNAP за свои усилия.
«Уязвимость CVE-2024-27130 связана с небезопасным использованием функции «strcpy» в функции «No_Support_ACL», используемой в скрипте «share.cgi» для обмена медиа с внешними пользователями», — говорится в заявлении QNAP. «Для эксплуатации этой уязвимости требуется действительный параметр SSID, который генерируется при обмене файлами с NAS-устройствами».
QNAP отметила, что все версии QTS 4.x и 5.x имеют включённую функцию ASLR, затрудняющую эксплуатацию данной уязвимости.
Обновления были выпущены через четыре дня после того, как сингапурская компания по кибербезопасности обнародовала информацию о 15 уязвимостях, включая четыре бага, которые могли быть использованы для обхода аутентификации и выполнения произвольного кода.
Получи VPN-прокси для России через наш удобный Телеграмм-бот:
|
Уязвимости под идентификаторами CVE-2023-50361 — CVE-2023-50364 были исправлены QNAP 25 апреля 2024 года. Однако, компания ещё не выпустила исправления для CVE-2024-27131, которую WatchTowr описал как «спуфинг логов через «x-forwarded-for», позволяющий записывать загрузки с произвольного источника».
В то же время QNAP утверждает, что CVE-2024-27131 не является уязвимостью, а представляет собой «дизайнерское решение», требующее изменения спецификаций интерфейса QuLog Center. Как бы то ни было, данное «решение» планируется исправить в QTS 5.2.0.
Подробности о четырёх других уязвимостях пока не раскрываются, однако уже известно, что одна из них получила идентификатор CVE и будет исправлена в ближайшем обновлении.
Эксперты WatchTowr заявили, что были вынуждены опубликовать информацию об уязвимостях после того, как QNAP не устранила их в течение 90-дневного срока раскрытия информации. При том, что компания несколько раз просила отсрочку в публикации общедоступного отчёта.
В ответ на критику QNAP выразила сожаление по поводу координационных проблем и обязалась выпускать исправления для критических уязвимостей в течение 45 дней, а для уязвимостей средней опасности — в течение 90 дней.
«Приносим извинения за любые неудобства и стремимся постоянно улучшать наши меры безопасности», — добавили в компании. «Наша цель — тесно сотрудничать с исследователями по всему миру для обеспечения наивысшего уровня безопасности нашей продукции».
С учётом того, что уязвимости в устройствах QNAP NAS ранее использовались атакующими, пользователям рекомендуется как можно скорее обновить свои системы до последних версий QTS и QuTS hero для предотвращения потенциальных угроз.
Ваши гаджеты следят за вами. Мы знаем, как это остановить!
Присоединяйтесь
Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.
Почему стоит купить безопасный VPN?
-
Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.
-
Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.
-
Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.
-
Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.
