Security Week 2306: критическая уязвимость в устройствах QNAP

30 января компания QNAP выпустила обновление для операционных систем QTS и QuTS Hero, закрывающее серьезную уязвимость, которая может привести к получению полного контроля над устройством. ОС QTS и QuTS Hero используются соответственно в устройствах NAS начального уровня и более мощных. Практически никаких деталей об уязвимости не приводится, кроме того, что ее эксплуатация предполагает проведение SQL-инъекции. Проблеме присвоен идентификатор CVE-2022-27596 и близкий к максимальному рейтинг 9,8 балла по шкале CvSS v3.



Свежая уязвимость позволила оценить, как много устройств подвержены проблеме и при этом доступны из Интернета: те пользователи, которые работают с сетевым хранилищем только в локальной сети, естественно, не могут быть атакованы. Такое исследование 3 февраля провела компания Censys. Всего было обнаружено более 60 тысяч устройств QNAP, но только половина из них отдавала информацию об используемой версии ПО. Из этих 30 520 устройств только на 557 был установлен патч, выпущенный пятью днями ранее. Большинство обнаруженных устройств расположены в Италии, США и Германии.
Читать дальше →

Источник: Хабрахабр