QNAP NAS-verkkotallennuslaitteista löytynyt haavoittuvuuksia

QNAP NAS-verkkotallennuslaitteista on löytynyt haavoittuvuuksia. Yksi haavoittuvuuksista on luokiteltu kriittiseksi, ja sitä hyväksikäyttämällä hyökkääjä voi saada etänä ylläpitäjän (admin) oikeudet laitteeseen. Haavoittuvuudelle ei ole julkaistu korjaavaa päivitystä.

Samalla on löytynyt myös kaksi muuta haavoittuvuutta, joilla laitteen voi saattaa palvelunestotilaan. Haavoittuvuudet löytyvät laitteen käyttämistä cgi -skripteistä.

Haavoittuvuuden hyväksikäyttöön on julkaistu esimerkkikoodia (Proof of Concept). Haavoittuvuuksiin ei ole vielä julkaistu korjaavaa päivitystä.

Ongelmaa voi pyrkiä rajoittamaan esimerkiksi verkkotason pääsylistoilla.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Verkon aktiivilaitteet
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Ongelman rajoittaminen
  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • QNAP NAS -verkkotallennuslaitteet, tarkempaa tietoa haavoittuvista malleista tai ohjelmistoversioista ei ole julkaistu.

Ratkaisu- ja rajoitusmahdollisuudet:

  • Asenna korjaava ohjelmistopäivitys heti kun sellainen julkaistaan.
  • Rajoita pääsyä esimerkiksi verkkotason pääsylistoilla.

Lisätietoa:

Päivityshistoria


Asiasanat: Tietoturva, Haavoittuvuudet


LinkedIn Print