Af Eskil Sørensen, 31/01/23
QNAP advarer sine kunder om at rette en kritisk sårbarhed, der påvirker dets NAS-enheder. NAS står for Network Attached Storage og er som navnet antyder en lagerenhed, der kan bruges til oplagring af data. I modsætning til en cloud er NAS en ekstern harddiskenhed, der er fysisk placeret på hjemme- eller virksomhedsadressen.
I advarslen fra QNAP opfordres kunder til at installere QTS- og QuTS-firmwareopdateringer for at håndtere en kritisk fejl, der påvirker versionerne QTS 5.0.1 og QuTS hero h5.0.1.
Fejlen har id’et CVE-2022-27596 og en CVSS v3-score på 9,8. Sårbarheden kan udnyttes af en fjernangriber til at injicere ondsindet kode på QNAP NAS-enheder. Fejlen er let at udnytte uden brugerinteraktion eller privilegier på den sårbare enhed. Derfor er den kritisk.
Sårbarheden er rettet i følgende systemer af operativsystemet:
- QTS 5.0.1.2234 build 20221201 og nyere
- QuTS hero h5.0.1.2248 build 20221215 og nyere
Vejledning til download og installation af opdateringen kan findes på QNAPs supportwebsteds Downloadcenter.
QNAP opfordrer kunder til at anvende sikkerhedsopdateringer så hurtigt som muligt.
Links:
https://www.qnap.com/en/security-advisory/qsa-23-01
https://securityaffairs.com/141588/iot/qnap-addresses-critical-flaw.html