Firma QNAP stanęła w obliczu wyzwania bezpieczeństwa po wykryciu kilku poważnych luk w swoich systemach operacyjnych: QTS, QuTS hero oraz QuTScloud. Te systemy, będące fundamentem działania licznych urządzeń NAS QNAP, wykazały podatności, które mogą pozwolić atakującym na zdalne wykonywanie poleceń bez konieczności uwierzytelniania.
Szczegóły podatności
Podatności, oznaczone jako CVE-2023-50358 i CVE-2023-47218, zostały sklasyfikowane jako mające średni poziom krytyczności, z oceną 5,8 według Common Vulnerability Scoring System (CVSS). Mimo to, ze względu na szeroki zakres dostępności urządzeń QNAP w Internecie, zagrożenie to uznano za potencjalnie szkodliwe. Odkrycia te stały się przedmiotem analizy przez badaczy bezpieczeństwa z Unit42, którzy po miesiącach poufnego kontaktu z QNAP, opublikowali notatki potwierdzające istnienie luk w zabezpieczeniach.
Wpływ na użytkowników
Podatności dotyczą różnych wersji systemów operacyjnych QNAP, w tym QTS 4.3.x, QTS 4.2.x, QuTScloud c5.x, oraz starszych wersji QTS i QuTS hero. To oznacza, że szeroka gama urządzeń NAS firmy może być narażona na ataki, co stanowi poważne ryzyko dla danych użytkowników i operacji przeprowadzanych za pomocą tych urządzeń.
Rekomendacje i działania naprawcze
W odpowiedzi na wykrycie luk, QNAP wydał oficjalne zalecenia, mające na celu pomoc użytkownikom w zabezpieczeniu ich urządzeń. Firma zachęca do aktualizacji systemów operacyjnych do najnowszych, zalecanych wydań, wymienionych w specjalnie przygotowanym komunikacie (Advisory). Dodatkowo, zaleca się użytkownikom przeprowadzenie testów podatności ich systemów, poprzez odwiedzenie określonego adresu URL. Rezultat w postaci strony błędu HTTP 404 wskazuje na nieobecność podatności, podczas gdy pusta strona (HTTP 200) sygnalizuje konieczność aktualizacji systemu w celu uniknięcia potencjalnych ataków.
To odkrycie podkreśla znaczenie ciągłego monitorowania i aktualizacji systemów operacyjnych urządzeń NAS, aby zapewnić bezpieczeństwo przechowywanych danych. Incydent ten jest również przypomnieniem dla firm i użytkowników o potrzebie utrzymywania wysokiego poziomu czujności wobec potencjalnych zagrożeń cyfrowych, a także o wartości współpracy między badaczami bezpieczeństwa a producentami w celu szybkiego rozwiązywania wykrytych podatności.