QNAP NAS ranjivosti nultog dana

Dana 29. i 30. listopada 2024., tvrtka QNAP je izdala zakrpe za dvije kritične ranjivosti nultog dana (engl. zero-day), CVE-2024-50387 i CVE-2024-50388, koje zahvaćaju NAS uređaje i omogućuju udaljenim napadačima stjecanje root pristupa i izvršavanje proizvoljnih naredbi na kompromitiranim uređajima.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
  • Ranjivost CVE-2024-50387 u QNAP-ovoj SMB usluzi omogućuje udaljenim napadačima iskorištavanje NAS sustava te potencijalno stjecanje root pristupa konzoli (engl. root shell).
  • Ranjivost CVE-2024-50388 omogućuje udaljenim napadačima izvršavanje proizvoljnih naredbi na zahvaćenim uređajima.
Zahvaćeni proizvodi:
CVE-2024-50387
  • SMB usluga prije verzije 4.15.002
  • SMB usluga prije verzije h4.15.002
CVE-2024-50388
  • HBS 3 Hybrid Backup Sync prije verzije 25.1.1.673
Preporuke:
Preporučuje se žurna nadogradnja ranjivih sustava na najnoviju dostupnu ispravljenu verziju.
 
Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 4.11.2024 - 15:57]