QNAP NAS-verkkotallennuslaitteista löytynyt haavoittuvuuksia

QNAP NAS-verkkotallennuslaitteista on löytynyt haavoittuvuuksia. Yksi haavoittuvuuksista on luokiteltu kriittiseksi, ja sitä hyväksikäyttämällä hyökkääjä voi saada etänä ylläpitäjän (admin) oikeudet laitteeseen.

Samalla on löytynyt myös kaksi muuta haavoittuvuutta, joilla laitteen voi saattaa palvelunestotilaan. Haavoittuvuudet löytyvät laitteen käyttämistä cgi -skripteistä.

Haavoittuvuuden hyväksikäyttöön on julkaistu esimerkkikoodia (Proof of Concept). Haavoittuvuuksiin ei ole vielä julkaistu korjaavaa päivitystä.

Ongelmaa voi pyrkiä rajoittamaan esimerkiksi verkkotason pääsylistoilla.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Verkon aktiivilaitteet
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • QNAP NAS -verkkotallennuslaitteet, tarkempaa tietoa haavoittuvista malleista tai ohjelmistoversioista ei ole julkaistu.

Ratkaisu- ja rajoitusmahdollisuudet:

  • Asenna korjaava ohjelmistopäivitys valmistajan ohjeen mukaisesti.
  • Rajoita pääsyä esimerkiksi verkkotason pääsylistoilla.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248