Новости CVE-2023-50358: один zero-day, два разных мнения

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Разночтения между исследователями привели к путанице. Как обезопасить свой NAS?


mmtkippz0pdy7t5s3ejam63sasa5qs9m.jpg


Специалисты по сетевым хранилищам из QNAP столкнулись с серьёзной проблемой безопасности, которая вызвала немало вопросов в профессиональном сообществе. Речь идёт о Для просмотра ссылки Войди или Зарегистрируйся , обнаруженных в начале ноября. Одна из них, с идентификатором Для просмотра ссылки Войди или Зарегистрируйся , и вовсе является zero-day брешью.

Примечательно, что сама компания QNAP оценила CVE-2023-50358 Для просмотра ссылки Войди или Зарегистрируйся (5.8 по шкале CVSS ) из-за высокой сложности реализации и незначительного эффекта, в то время как исследователи из Palo Alto Networks Для просмотра ссылки Войди или Зарегистрируйся , с низкой сложностью реализации и мощным воздействием, призывая затронутых пользователей срочно защитить свои устройства Интернета вещей.

Столь весомые различия в оценке уязвимости вызвали определённую путаницу среди клиентов QNAP. Национальная база данных уязвимостей США (NVD) на сегодняшний день Для просмотра ссылки Войди или Зарегистрируйся над независимой оценкой серьёзности уязвимости.

CVE-2023-50358 связана с инъекцией команд в компоненте quick.cgi прошивки QTS, используемой на большинстве NAS -устройств от QNAP. Эксплуатация уязвимости позволяет выполнять в системе произвольные команды.

Исследования Palo Alto показали, что уязвимыми к CVE-2023-50358 являются 289 665 IP-адресов, среди которых наибольшее число обнаружено в Германии и США.

Тем временем, QNAP уведомила и о второй уязвимости, Для просмотра ссылки Войди или Зарегистрируйся , которая Для просмотра ссылки Войди или Зарегистрируйся исследователем из Rapid7 . Она также связана с инъекцией команд и оценена на 5.8 баллов по шкале CVSS.

Подробности о различиях между уязвимостями и специфические рекомендации по обновлению разных версий прошивки остаются не до конца ясными из-за скудности технических деталей в рекомендациях от QNAP.

Чтобы не ломать голову почём зря, рекомендуется просто обновить свои устройства до самой последней версии ПО, ведь необходимые исправления уже выпущены. Хотя в рекомендациях QNAP и предоставлены Для просмотра ссылки Войди или Зарегистрируйся .
 
Источник новости
www.securitylab.ru

Похожие темы