QNAP je oktobra lani izdal varnostno posodobitev, potem ko je šest mesecev pozneje izvedel za ranljivost in se počasi odzval !! – strojna oprema HKEPC

QNAP se je učinka zavedal oktobra lani
Odziv je bil zelo počasen in pol leta kasneje je izšla varnostna posodobitev !!

Besedilo: K.K. Wong / Novinarsko središče

QNAP zaklene NAS ransomware Qlocker. Incidentu napada so se izognili. Varnostno podjetje Seamless Network je 12. oktobra in 29. novembra lani poročalo o 2 ranljivosti, povezani s QNAP, in zagotovilo 120 dni. Obdobje ponudbe QNAP za odpravo ranljivosti. Poročilo o ranljivosti je bilo pozneje objavljeno za javnost. Na žalost je bil odziv QNAP zelo počasen, tako da škoda še ni bila odpravljena pred iztekom roka. Končno poročilo je bilo objavljeno 31. marca. QNAP je varnostno posodobitev izdal šele 16. aprila. Na žalost je bilo prepozno.

Po besedah ​​Yaniva Puyeskega iz Seamless Network so oktobra in novembra lani zaznali najhujše ranljivosti v napravah QNAP NAS in upoštevali standardne postopke QNAP, kar je omogočilo 4-mesečno podaljšanje obdobja, potem ko je QNAP omogočil razrešitev. , Javnost je bila obveščena, da te ranljivosti omogočajo popoln dostop do naprave iz omrežja brez dovoljenja, vključno z dostopom do podatkov, ki jih shrani uporabnik.

Kljub razkritju nemotenega procesa inovacij v omrežju in korakih, ki jih je treba sprejeti za QNAP, je ponudbeno obdobje preseglo en mesec. Od izdaje poročila o ranljivosti dve resni ranljivosti še nista bili odpravljeni.

1. RCE ranljivost spletnega strežnika

Ta ranljivost hekerjem omogoča, da preko storitve CGI izvedejo kateri koli ukaz spletne lupine prek storitve spletnega strežnika NAS (privzeta vrata TCP 8080), kar lahko sproži nepooblaščeno oddaljeno delovanje kode in okuži vse naprave QNAP NAS, ki so izpostavljene internetu.

READ  Google namerava povečati odstotek svojih uporabnikov Chroma z 0,5% na 5% za svoje FLoC testiranje / svet digitalnih informacij

Ranljivost je bila v celoti razkrita varnostnemu odboru QNAP do 12. oktobra 2020. Tabela je naslednja:

12. oktobra 2020 so bila priporočila o ranljivosti in rešitvah v celoti razkrita varnostnemu odboru QNAP.

23. oktobra 2020 je bilo Varnostnemu odboru QNAP poslano novo e-poštno obvestilo

31. oktobra 2020 Prejmite samo samodejni odgovor od podpore QNAP s številko vozovnice.

Obdobje ponudbe, objavljeno za QNAP 21. januarja 2021, je 12. februarja.

Služba za pomoč uporabnikom N QNAP se je končno odzvala 26. januarja 2021: težava je bila potrjena, vendar še vedno traja.

Ponudbeno obdobje 21. februarja 2021 je poteklo.

21. marca 2021 je Seamless Network objavil povezano poročilo o ranljivosti.

2. Ranljivost spontanega zapisovanja datotek na strežniku DLNA

Ta ranljivost hekerjem omogoča, da prek storitve strežnika DLNA (privzeta vrata 8200) kjer koli ustvarijo spontani dostop do podatkov datotek in omogočajo zahteve UPNP na vratih 8200. Ta ranljivost bo hekerjem sčasoma omogočila, da sprožijo oddaljeno aktivacijo kode.

Ranljivost je bila v celoti razkrita varnostnemu odboru QNAP 29. novembra 2020. Tabela je naslednja:

Seznanjen z varnostnim odborom QNAP 29. novembra 2020,Toda QNAP ni odgovoril.

Ponudbeno obdobje 21. marca 2021 je poteklo.

21. marca 2021 je Seamless Network objavil povezano poročilo o ranljivosti.

Drugi dan po objavi poročila o ranljivosti je brezšivno omrežje poudarilo, da je QNAP stopil v stik z brezšivnim omrežjem glede zgoraj omenjenih varnostnih težav, vendar sta bili rešeni dve ranljivosti v novem modelu QNAP v različici QTS 4.5, primeren za starejše starejše modele in odziv omrežja GNAP na spletno mesto: “Rešitev deluje tudi in bodo dostavljeni v naslednjih nekaj tednih.

READ  Ameriško sodišče je kitajskemu telefonskemu podjetju izreklo sožalje in ga bo čakala usoda Havajev?

Nazadnje je QNAP 19. aprila izdal varnostni bilten in posodobitev za obe ranljivosti. Priporočljivo je, da vsi uporabniki QNAP takoj odpravijo ranljivosti. Na žalost je za uporabnike NAS QNAP prepozno povzročiti resno katastrofo. Čez pol leta lahko brskate po obsežnem postopku:https://securingsam.com/new-vulnerabilities-allow-complete-takeover/

O varnostnem biltenu QNAP in posodobitvi vdelane programske opreme:

https://www.qnap.com/en/security-advisory/qsa-21-05

https://www.qnap.com/en/security-advisory/qsa-21-11

Tabela razkritja neomejenega omrežja za ranljivosti QNAP:

https://securingsam.com/new-vulnerabilities-allow-complete-takeover/

Ranljivosti QNAP

Maja Irena

Predan televizijski strokovnjak. Poklicni znanstvenik pop kulture. Študent. Potovalni strokovnjak. Spletni fanatik.

Related Posts

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Read also x