QNAP remediază o vulnerabilitate critică care permite injectarea de cod malițios

Compania QNAP avertizează utilizatorii să instaleze actualizări de firmware OTS și QuTS pentru a remedia o vulnerabilitate critică care ar putea permite atacatorilor să injecteze cod malițios de la distantă pe dispozitivele NAS QNAP.

Vulnerabilitatea, cunoscută ca CVE-2022-27596 și evaluată ca având un grad de severitate critic (scor CVSS v3: 9,8) afectează versiunile QTS 5.0.1 și QuTS hero h5.0.1 ale sistemului de operare.

Vulnerabilitățile de tip SQL injection permit atacatorilor să trimită cereri modificate pe dispozivitivele vulnerabile pentru a modifica interogările SQL legitime.

QNAP recomandă actualizarea dispozitivelor care rulează QTS și QuTS hero la următoarele versiuni:

• QTS 5.0.1.2234 build 20221201 și versiunile anterioare.
• QuTS hero h5.0.1.2248 build 20221215 și versiunile anterioare.

Compania recomandă actualizarea dispozitivelor, acestea fiind deja ținta unor atacuri de tip ransomware cunoscute sub numele de DeadBolt și eCh0raix, care exploatează vulnerabilitățile pentru a cripta datele de pe dispozitivele NAS.

Sursă: https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-letting-hackers-inject-malicious-code/