Security Week 2306: критическая уязвимость в устройствах QNAP

30 января компания QNAP выпустила обновление для операционных систем QTS и QuTS Hero, закрывающее серьезную уязвимость, которая может привести к получению полного контроля над устройством. ОС QTS и QuTS Hero используются соответственно в устройствах NAS начального уровня и более мощных. Практически никаких деталей об уязвимости не приводится, кроме того, что ее эксплуатация предполагает проведение SQL-инъекции. Проблеме присвоен идентификатор CVE-2022-27596 и близкий к максимальному рейтинг 9,8 балла по шкале CvSS v3.



Свежая уязвимость позволила оценить, как много устройств подвержены проблеме и при этом доступны из Интернета: те пользователи, которые работают с сетевым хранилищем только в локальной сети, естественно, не могут быть атакованы. Такое исследование 3 февраля провела компания Censys. Всего было обнаружено более 60 тысяч устройств QNAP, но только половина из них отдавала информацию об используемой версии ПО. Из этих 30 520 устройств только на 557 был установлен патч, выпущенный пятью днями ранее. Большинство обнаруженных устройств расположены в Италии, США и Германии.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Тайные битвы на фронтах ИБ: DLP против стеганографии
• Яндекс запускает биржу телеграм-каналов
• Андрей Терехов и Рейтинг Рунета выпустили чек-лист хорошей рекламной кампании
• Угнать «телегу» за 60 секунд: лайфхаки по противодействию мошенникам от социального инженера
• Giftery: Почему сотрудники саботируют автоматизацию — и как внедрить её без конфликтов
• Безопасная разработка как игра в Dungeons & Dragons
• DOT Digital Agency: Новый облик Очёрского машиностроительного завода
• HackTheBox Labs (Starting Point) — Exploison
• Пилюля против фишинга
• Почему все ломается, или Зачем менеджеру в ИТ софт-скилы