Разночтения между исследователями привели к путанице. Как обезопасить свой NAS?
Специалисты по сетевым хранилищам из QNAP столкнулись с серьёзной проблемой безопасности, которая вызвала немало вопросов в профессиональном сообществе. Речь идёт о Для просмотра ссылки Войдиили Зарегистрируйся , обнаруженных в начале ноября. Одна из них, с идентификатором Для просмотра ссылки Войди или Зарегистрируйся , и вовсе является zero-day брешью.
Примечательно, что сама компания QNAP оценила CVE-2023-50358 Для просмотра ссылки Войдиили Зарегистрируйся (5.8 по шкале CVSS ) из-за высокой сложности реализации и незначительного эффекта, в то время как исследователи из Palo Alto Networks Для просмотра ссылки Войди или Зарегистрируйся , с низкой сложностью реализации и мощным воздействием, призывая затронутых пользователей срочно защитить свои устройства Интернета вещей.
Столь весомые различия в оценке уязвимости вызвали определённую путаницу среди клиентов QNAP. Национальная база данных уязвимостей США (NVD) на сегодняшний день Для просмотра ссылки Войдиили Зарегистрируйся над независимой оценкой серьёзности уязвимости.
CVE-2023-50358 связана с инъекцией команд в компоненте quick.cgi прошивки QTS, используемой на большинстве NAS -устройств от QNAP. Эксплуатация уязвимости позволяет выполнять в системе произвольные команды.
Исследования Palo Alto показали, что уязвимыми к CVE-2023-50358 являются 289 665 IP-адресов, среди которых наибольшее число обнаружено в Германии и США.
Тем временем, QNAP уведомила и о второй уязвимости, Для просмотра ссылки Войдиили Зарегистрируйся , которая Для просмотра ссылки Войди или Зарегистрируйся исследователем из Rapid7 . Она также связана с инъекцией команд и оценена на 5.8 баллов по шкале CVSS.
Подробности о различиях между уязвимостями и специфические рекомендации по обновлению разных версий прошивки остаются не до конца ясными из-за скудности технических деталей в рекомендациях от QNAP.
Чтобы не ломать голову почём зря, рекомендуется просто обновить свои устройства до самой последней версии ПО, ведь необходимые исправления уже выпущены. Хотя в рекомендациях QNAP и предоставлены Для просмотра ссылки Войдиили Зарегистрируйся .
Специалисты по сетевым хранилищам из QNAP столкнулись с серьёзной проблемой безопасности, которая вызвала немало вопросов в профессиональном сообществе. Речь идёт о Для просмотра ссылки Войди
Примечательно, что сама компания QNAP оценила CVE-2023-50358 Для просмотра ссылки Войди
Столь весомые различия в оценке уязвимости вызвали определённую путаницу среди клиентов QNAP. Национальная база данных уязвимостей США (NVD) на сегодняшний день Для просмотра ссылки Войди
CVE-2023-50358 связана с инъекцией команд в компоненте quick.cgi прошивки QTS, используемой на большинстве NAS -устройств от QNAP. Эксплуатация уязвимости позволяет выполнять в системе произвольные команды.
Исследования Palo Alto показали, что уязвимыми к CVE-2023-50358 являются 289 665 IP-адресов, среди которых наибольшее число обнаружено в Германии и США.
Тем временем, QNAP уведомила и о второй уязвимости, Для просмотра ссылки Войди
Подробности о различиях между уязвимостями и специфические рекомендации по обновлению разных версий прошивки остаются не до конца ясными из-за скудности технических деталей в рекомендациях от QNAP.
Чтобы не ломать голову почём зря, рекомендуется просто обновить свои устройства до самой последней версии ПО, ведь необходимые исправления уже выпущены. Хотя в рекомендациях QNAP и предоставлены Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru