Security Week 2306: критическая уязвимость в устройствах QNAP

30 января компания QNAP выпустила обновление для операционных систем QTS и QuTS Hero, закрывающее серьезную уязвимость, которая может привести к получению полного контроля над устройством. ОС QTS и QuTS Hero используются соответственно в устройствах NAS начального уровня и более мощных. Практически никаких деталей об уязвимости не приводится, кроме того, что ее эксплуатация предполагает проведение SQL-инъекции. Проблеме присвоен идентификатор CVE-2022-27596 и близкий к максимальному рейтинг 9,8 балла по шкале CvSS v3.



Свежая уязвимость позволила оценить, как много устройств подвержены проблеме и при этом доступны из Интернета: те пользователи, которые работают с сетевым хранилищем только в локальной сети, естественно, не могут быть атакованы. Такое исследование 3 февраля провела компания Censys. Всего было обнаружено более 60 тысяч устройств QNAP, но только половина из них отдавала информацию об используемой версии ПО. Из этих 30 520 устройств только на 557 был установлен патч, выпущенный пятью днями ранее. Большинство обнаруженных устройств расположены в Италии, США и Германии.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Сбор ПДн через Яндекс.Формы: как соблюсти 152-ФЗ
• Обход Cloudflare. Часть I
• DHCP: настройка серверов, Relay и анализ трафика в Wireshark
• Безопасная аутентификация с Indeed AM
• bit kogan: Одна из наиболее обсуждаемых тем сегодня — по какому пути пойдет дальнейшее развитие интернета в России
• Как работает машина Enigma M3 (для флота)
• Из туризма в стеганографию: история создания ChameleonLab и наш новый взгляд на контент
• Невидимые чернила в цифровом мире: технология сокрытия данных в DOCX/XLSX
• Homo CyberSecuritis. Человек эпохи кибербезопасности
• Jailbreak ChatGPT-5, системный промпт, и скрытый контекст