Еще один день, еще одна уязвимость. На этот раз мы имеем дело с поставщиком сетевого оборудования для хранения данных QNAP. Интересно, что эта конкретная уязвимость не является полностью ошибкой QNAP. Это PHP.
Да, уязвимость была обнаружена в версиях PHP 7.1.x ниже 7.1.33, 7.2.x ниже 7.2.24 и 7.3.x ниже 7.3.11. Особенно в сочетании с неправильной конфигурацией nginx. Nginx — это программное обеспечение веб-сервера, которое может запускать функции веб-панели для устройств QNAP NAS, PHP — это язык сценариев и программирования на стороне сервера, который позволяет выполнять код, как правило, с ограничениями.
Чтобы эта уязвимость действительно использовалась, для конкретной конфигурации требуется запуск nginx и php-fpm. PHP-FPM — это метод развертывания PHP, называемый FastCGI Process Manager, который позволяет PHP работать более эффективно, чем через некоторые другие библиотеки. В конечном счете, хотя nginx не является веб-сервером по умолчанию, установленным QNAP в уязвимых операционных системах, это не означает, что nginx нельзя установить в любом случае. Ниже приведены затронутые версии операционной системы QNAP.
- QTS 5.0.x
- QTS 4.5.x
- Герой QuTS h5.0.x
- Герой QuTS h4.5.x
- QuTScloud c5.0.x
QNAP уже выпустила исправления для QTS 5.0.x и героя QuTS h5.0.x, но все еще работает над выпуском исправлений для другой версии. На данный момент безопасными считаются версии с исправлениями: QTS 5.0.1.2034, сборка 20220515 и более поздние, или QuTS hero h5.0.0.2069, сборка 20220614 и более поздние.
Проверить наличие новых прошивок на ваших устройствах довольно просто.
- Войдите в операционную систему вашего устройства как администратор
- Перейдите в Панель управления > Система > Обновление прошивки.
- В разделе Live Update щелкните Проверить наличие обновлений .
- На этом этапе должно быть загружено и автоматически установлено последнее применимое обновление.
Обратите внимание, что эта конкретная уязвимость не так уж нова , однако обнаружение уязвимости в операционных системах QNAP является новым. Таким образом, веб-администраторы должны знать, что им следует обновиться до последних применимых версий PHP, чтобы устранить этот недостаток безопасности на своем веб-сервере, если они используют его в тандеме с nginx. Это также не единственный элемент безопасности, с которым боролись устройства QNAP, пару лет назад некоторые устройства были заблокированы программами-вымогателями с помощью программного обеспечения для архивирования 7zip.