QNAP, Taiwanese maker van Network-Attached Storage (NAS)-apparaten, heeft vrijdag beveiligingsupdates uitgebracht om negen beveiligingsproblemen te verhelpen, waaronder een kritiek probleem dat misbruikt zou kunnen worden om een getroffen systeem over te nemen.
“Er is gemeld dat er een kwetsbaarheid is die invloed heeft op de QNAP VS Series NVR met QVR,” QNAP zei in een advies. “Als deze kwetsbaarheid wordt misbruikt, kunnen aanvallers op afstand willekeurige opdrachten uitvoeren.”
Bijgehouden als CVE-2022-27588 (CVSS-score: 9,8), is de kwetsbaarheid verholpen in QVR 5.1.6 build 20220401 en later. Gecrediteerd met het melden van de fout is het Japan Computer Emergency Response Team Coordination Center (JPCERT/CC).
Afgezien van de kritieke tekortkoming, heeft QNAP ook drie zeer ernstige en vijf middelzware bugs in zijn software opgelost:
- CVE-2021-38693 (CVSS-score: 5,3) – A kwetsbaarheid voor padtravers in thttpd van invloed op QNAP-apparaten met QTS, QuTS hero, QuTScloud en QVR Pro Appliance, wat leidt tot openbaarmaking van informatie
- CVE-2021-44051 (CVSS-score: 8,8) – A opdracht injectie kwetsbaarheid in QNAP-apparaten met QTS, QuTS hero en QuTScloud, wat resulteert in het uitvoeren van willekeurige opdrachten
- CVE-2021-44052 (CVSS-score: 6.5) – An onjuiste koppelingsresolutie vóór bestandstoegang (“link volgen”) kwetsbaarheid in QNAP-apparaten met QTS, QuTS hero en QuTScloud, waardoor aanvallers bestanden kunnen lezen/schrijven op willekeurige bestandslocaties
- CVE-2021-44053 (CVSS-score: 5,7) – A cross-site scripting (XSS) kwetsbaarheid in QNAP-apparaten met QTS, QuTS hero en QuTScloud, wat leidt tot code-injectie
- CVE-2021-44054 (CVSS-score: 4,3) – An kwetsbaarheid voor open omleiding in QNAP-apparaten met QTS, QuTS hero en QuTScloud, waardoor het mogelijk wordt gebruikers om te leiden naar frauduleuze webpagina’s
- CVE-2021-44055 (CVSS-score: 5,3) – A ontbrekende autorisatie kwetsbaarheid in QNAP-apparaten waarop Video Station draait, waardoor aanvallers toegang krijgen tot gegevens of ongeautoriseerde acties uitvoeren
- CVE-2021-44056 (CVSS-score: 7,1) – An kwetsbaarheid voor onjuiste authenticatie in QNAP-apparaten waarop Video Station draait, wat leidt tot systeemcompromis
- CVE-2021-44057 (CVSS-score: 7,1) – An kwetsbaarheid voor onjuiste authenticatie in QNAP-apparaten met Photo Station, wat leidt tot systeemcompromis
