Çeşitli Qnap NAS modelleri için önemli güvenlik güncellemeleri yayınlandı. Saldırılar başarılı olursa, en kötü durumda saldırganlar komutlarını uygulayabilir ve cihazların güvenliğini tehlikeye atabilir. Qnap yönlendiricinin işletim sistemi QuRouter OS de savunmasızdır.
Duyuru
Qnap web sitesinin güvenlik bölümünden de görülebileceği gibi QTS ve QuTS Hero NAS işletim sistemlerinin yanı sıra AI Core, OpenSSH, Media Streamin Add-on, Notes Station 3 ve QuLog Center NAS uygulamaları da güvenlik açığına sahip .
Şu ana kadar Qnap herhangi bir saldırı bildirmedi. Ancak NAS cihazı sahipleri mevcut güvenlik güncellemelerini derhal yüklemelidir.
Birçok güvenlik açığı kapatıldı
QuLog Center'daki Güvenlik Açığı (CVE-2024-48862″)yüksek“) verilere yetkisiz erişime izin verir. A “eleştirmen” Notes Station 3'teki güvenlik açığı (CVE-2024-38645) da olası veri kaybına neden olur. QTS ve QuTS Hero'daki güvenlik açıklarının çoğu tehdit düzeyiyle ilgilidir “orta(CVE-2024-37024 olarak) Bu örnekte saldırganlar daha yüksek kullanıcı hakları elde edebiliyor.
Saldırganlar Açıklardan Başarıyla Yararlanıyor (CVE-2024-48860″)eleştirmen“, CVE-2024-48861”yüksek“) QuRouter'da kendi komutlarını yürütebilirler. Sınıflandırmalara dayanarak, cihazların tam kontrolünü ele geçirecekleri varsayılabilir. Photo Station bir XSS saldırısına karşı savunmasızdır (CVE-2024-32767 “orta“) duyarlı.
Bu suçlamalar açıklanan saldırılara karşı korunmaktadır:
(des)
Duyuru
Qnap web sitesinin güvenlik bölümünden de görülebileceği gibi QTS ve QuTS Hero NAS işletim sistemlerinin yanı sıra AI Core, OpenSSH, Media Streamin Add-on, Notes Station 3 ve QuLog Center NAS uygulamaları da güvenlik açığına sahip .
Şu ana kadar Qnap herhangi bir saldırı bildirmedi. Ancak NAS cihazı sahipleri mevcut güvenlik güncellemelerini derhal yüklemelidir.
Birçok güvenlik açığı kapatıldı
QuLog Center'daki Güvenlik Açığı (CVE-2024-48862″)yüksek“) verilere yetkisiz erişime izin verir. A “eleştirmen” Notes Station 3'teki güvenlik açığı (CVE-2024-38645) da olası veri kaybına neden olur. QTS ve QuTS Hero'daki güvenlik açıklarının çoğu tehdit düzeyiyle ilgilidir “orta(CVE-2024-37024 olarak) Bu örnekte saldırganlar daha yüksek kullanıcı hakları elde edebiliyor.
Saldırganlar Açıklardan Başarıyla Yararlanıyor (CVE-2024-48860″)eleştirmen“, CVE-2024-48861”yüksek“) QuRouter'da kendi komutlarını yürütebilirler. Sınıflandırmalara dayanarak, cihazların tam kontrolünü ele geçirecekleri varsayılabilir. Photo Station bir XSS saldırısına karşı savunmasızdır (CVE-2024-32767 “orta“) duyarlı.
Bu suçlamalar açıklanan saldırılara karşı korunmaktadır:
- 3.4.1'den Yapay Zeka Çekirdeği
- QuLog Center, 1.7.0.831 (10/15/2024), 1.8.0.888 (10/15/2024) ve sonrası
- 2.4.3.106'dan itibaren QuRouter
- 5.2.1.2930 derlemesinden QTS 20241025
- H5.2.1.2929 yapı 20241025'ten QuTS kahramanı
- 3.9.7'den İstasyon 3'e Not
- 6.4.3'ten itibaren fotoğraf istasyonu (12/07/2024)
- 500.1.1.6'dan itibaren Medya Akışı Eklentisi (02/08/2024)
(des)