QNAP NAS ranjivosti nultog dana
Dana 29. i 30. listopada 2024., tvrtka QNAP je izdala zakrpe za dvije kritične ranjivosti nultog dana (engl. zero-day), CVE-2024-50387 i CVE-2024-50388, koje zahvaćaju NAS uređaje i omogućuju udaljenim napadačima stjecanje root pristupa i izvršavanje proizvoljnih naredbi na kompromitiranim uređajima.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
- Ranjivost CVE-2024-50387 u QNAP-ovoj SMB usluzi omogućuje udaljenim napadačima iskorištavanje NAS sustava te potencijalno stjecanje root pristupa konzoli (engl. root shell).
- Ranjivost CVE-2024-50388 omogućuje udaljenim napadačima izvršavanje proizvoljnih naredbi na zahvaćenim uređajima.
Zahvaćeni proizvodi:
CVE-2024-50387
- SMB usluga prije verzije 4.15.002
- SMB usluga prije verzije h4.15.002
CVE-2024-50388
- HBS 3 Hybrid Backup Sync prije verzije 25.1.1.673
Preporuke:
Preporučuje se žurna nadogradnja ranjivih sustava na najnoviju dostupnu ispravljenu verziju.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.qnap.com/fr-fr/security-advisory/qsa-24-42
- https://www.qnap.com/fr-fr/security-advisory/qsa-24-41
- https://www.bleepingcomputer.com/news/security/qnap-fixes-nas-backup-software-zero-day-exploited-at-pwn2own/
- https://www.bleepingcomputer.com/news/security/qnap-patches-second-zero-day-exploited-at-pwn2own-to-get-root/
[inicijalna objava: 4.11.2024 - 15:57]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima