Ваше устройство QNAP NAS, вероятно, уязвимо из-за критической уязвимости безопасности, исправьте как можно скорее

Сетевой накопитель QNAP
Еще один день, еще одна уязвимость. На этот раз мы имеем дело с поставщиком сетевого оборудования для хранения данных QNAP. Интересно, что эта конкретная уязвимость не является полностью ошибкой QNAP. Это PHP.

Да, уязвимость была обнаружена в версиях PHP 7.1.x ниже 7.1.33, 7.2.x ниже 7.2.24 и 7.3.x ниже 7.3.11. Особенно в сочетании с неправильной конфигурацией nginx. Nginx — это программное обеспечение веб-сервера, которое может запускать функции веб-панели для устройств QNAP NAS, PHP — это язык сценариев и программирования на стороне сервера, который позволяет выполнять код, как правило, с ограничениями.

Чтобы эта уязвимость действительно использовалась, для конкретной конфигурации требуется запуск nginx и php-fpm. PHP-FPM — это метод развертывания PHP, называемый FastCGI Process Manager, который позволяет PHP работать более эффективно, чем через некоторые другие библиотеки. В конечном счете, хотя nginx не является веб-сервером по умолчанию, установленным QNAP в уязвимых операционных системах, это не означает, что nginx нельзя установить в любом случае. Ниже приведены затронутые версии операционной системы QNAP.

  • QTS 5.0.x
  • QTS 4.5.x
  • Герой QuTS h5.0.x
  • Герой QuTS h4.5.x
  • QuTScloud c5.0.x

средний

QNAP уже выпустила исправления для QTS 5.0.x и героя QuTS h5.0.x, но все еще работает над выпуском исправлений для другой версии. На данный момент безопасными считаются версии с исправлениями: QTS 5.0.1.2034, сборка 20220515 и более поздние, или QuTS hero h5.0.0.2069, сборка 20220614 и более поздние.

Проверить наличие новых прошивок на ваших устройствах довольно просто.

  1. Войдите в операционную систему вашего устройства как администратор
  2. Перейдите в Панель управления > Система > Обновление прошивки.
  3. В разделе Live Update щелкните Проверить наличие обновлений .
  4. На этом этапе должно быть загружено и автоматически установлено последнее применимое обновление.

qnap 4 отсека

Обратите внимание, что эта конкретная уязвимость не так уж нова , однако обнаружение уязвимости в операционных системах QNAP является новым. Таким образом, веб-администраторы должны знать, что им следует обновиться до последних применимых версий PHP, чтобы устранить этот недостаток безопасности на своем веб-сервере, если они используют его в тандеме с nginx. Это также не единственный элемент безопасности, с которым боролись устройства QNAP, пару лет назад некоторые устройства были заблокированы программами-вымогателями с помощью программного обеспечения для архивирования 7zip.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал