Af Eskil Sørensen, 11/03/24
QNAP har fundet flere kritiske sårbarheder i deres NAS-softwareprodukter, der kan give ondsindede aktører adgang til enheder. Der er observeret tre sårbarheder, hvoraf den ene potentielt kan føre til omgåelse af autentificering. Denne har id’et CVE-2024-21899 og er af QNAP selv blev tildelt scoren, 9,8. Den kan udføres fra "remote" og kræver ikke adgang til systemet, dvs. at sårbarheden har lav kompleksitet.
De to andre CVE-2024-21900 og CVE-2024-21901 har fået en forholdsvis lav score, nemlig hhv. 4,3 og 4,7.
CVE-2024-21900 er en fejl ved validering af input, der potentielt kan påvirke flere QNAP-operativsystemer. CVE-2024-21901 er en fejl ved input valideringen til SQL-kommandoer. Den kan potentielt åbne op for infektion af skadelig kode. De to sidste kræver, at aktøren her legitim adgang til systemet for at kunne udnyttes.
De berørte systemer er
- QTS 5.1.x
- QTS 4.5.x
- QuTS hero h5.1.x
- QuTS hero h4.5.x
- QuTScloud c5.x
- myQNAPcloud 1.0.x
Der er endnu ikke rapporter om aktiv udnyttelse, men med så høj en score, er det ikke usandsynligt, at CVE-2024-21899 forsøges udnyttet i disse dage.
Det anbefales at opdatere i henhold til QNAP' anvisninger (se referencer)