Ανακαλύφθηκε μια νέα εκμετάλλευση που επηρεάζει τους πελάτες της QNAP που εκτελούν τις πιο πρόσφατες εκδόσεις των λειτουργικών της συστημάτων: QTS 5.0.1 και QuTS hero h.5.0.1, αλλά μην ανησυχείτε, εφαρμόστε αυτήν την ενημέρωση κώδικα και θα πρέπει να είστε καλά.
Λέγεται ότι η ευπάθεια επιτρέπει στους παράγοντες απειλών να εισάγουν κακόβουλο κώδικα και έχει λάβει βαθμολογία κοινού συστήματος βαθμολόγησης ευπάθειας (CVSS) 9.8 (από 10), γεγονός που την καθιστά κρίσιμης σημασίας.
Δεν είμαστε βέβαιοι ποιες θα είναι οι επιπτώσεις σε περίπτωση κυβερνοεπίθεσης, ωστόσο η QNAP προτρέπει τους πελάτες της να παραμείνουν ενημερωμένοι και να ενημερώσουν άμεσα.
Ενημερωμένη έκδοση κώδικα ασφαλείας QNAP
Το exploit, με την κωδική ονομασία CVE-2022-27596, επισημαίνεται ως "resolved" στο μήνυμα της εταιρείας (ανοίγει σε νέα καρτέλα) , το οποίο περιγράφει λεπτομερώς πώς οι χρήστες μπορούν να ελέγξουν για αναβαθμίσεις υλικολογισμικού.
Οι χρήστες του QNAP NAS θα πρέπει να πλοηγηθούν στον Πίνακα Ελέγχου > Σύστημα > Ενημέρωση υλικολογισμικού και να επιλέξουν Έλεγχος για ενημέρωση στην περιοχή Ζωντανή ενημέρωση. Οι χρήστες μπορούν επίσης να πραγματοποιήσουν μια μη αυτόματη ενημέρωση κατεβάζοντας το υλικολογισμικό από την Υποστήριξη > Κέντρο λήψης.
Η ευπάθεια έχει διορθωθεί στις ακόλουθες εκδόσεις:
QTS 5.0.1.2234 έκδοση 20221201 και νεότερη έκδοση
QuTS hero h5.0.1.2248 build 20221215 και νεότερη έκδοση
Δεν είναι η πρώτη φορά που οι πελάτες της QNAP καλούνται να αναλάβουν δράση για να αποτρέψουν μια κυβερνοεπίθεση. Μάλιστα, η εταιρεία δέχεται τακτικές επιθέσεις. Τούτου λεχθέντος, ως επί το πλείστον, έχει ανταποκριθεί άμεσα σε εκμεταλλεύσεις και έχει εκδώσει έγκαιρες ενημερώσεις κώδικα, δίνοντας στους χρήστες του ήσυχο ότι έχει δεσμευτεί να προστατεύει τα δεδομένα τους.
Επιπλέον, οι επιθέσεις NAS είναι δυστυχώς συχνό φαινόμενο και οι χρήστες όλων των τύπων συσκευών καλούνται να προστατεύσουν τα δεδομένα τους όσο καλύτερα μπορούν. Αυτό μπορεί να περιλαμβάνει τη χρήση ισχυρών διαπιστευτηρίων και ελέγχου ταυτότητας, καθώς και τη χρήση VPN και τείχη προστασίας, μεταξύ άλλων.