Тысячи устройств Qnap уязвимы перед удаленными атаками - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
20-05-2020, 20:04
Тысячи устройств Qnap уязвимы перед удаленными атаками - «Новости»
Рейтинг:
Категория: Новости

ИБ-специалист Генри Хуан (Henry Huang) рассказал о четырех критических уязвимостях, влияющих на десятки или даже сотни тысяч устройств Qnap NAS.


Дело в том, что три из четырех обнаруженных проблем оказались связаны с предустановленным приложением для создания фотоальбомов Photo Station. Это приложение можно найти на 80% девайсов Qnap. В итоге, по мнению исследователя, приблизительное количество уязвимых устройств составляет около 450 000 (основываясь на данных IoT-поисковика Shodan и собственной приблизительной оценке эксперта).



Тысячи устройств Qnap уязвимы перед удаленными атаками - «Новости»

Как уже было сказано выше, три уязвимости влияют на приложение Photo Station (версии до 6.0.3, 5.2.11, 5.4.9), а четвертый баг связан с приложением файлового менеджера QTS. Все четыре проблемы набрали 9,8 баллов по шкале оценки уязвимостей CVSS, то есть имеют статус критических:


  • CVE-2019-7192(Photo Station);

  • CVE-2019-7194(Photo Station);

  • CVE-2019-7195(Photo Station);

  • CVE-2019-7193 (файловый менеджер QTS).

Хуже того, три уязвимости в Photo Station можно объединить в единую цепочку: обойти аутентификацию с помощью CVE-2019-7192 , внедрить вредоносный код в PHP-сессию приложения Photo Station, используя CVE-2019-7194 , а затем установить веб-шелл на уязвимое устройство, применив CVE-2019-7195. Так как Photo Station работает с root-привилегиями, атакующий получает возможность установить полный контроль над проблемным устройством Qnap.


Хуан пишет, что обнаружил эти уязвимости и сообщил о них представителям Qnap еще в июне 2019 года. Компания исправила все найденные баги и обновила Photo Station и QTS в ноябре 2019 года, однако эксперт выждал несколько месяцев перед раскрытием данных о багах, так как хотел дать пользователям больше времени на установку патчей.  Отмечу, что обновление QTS потребует обновления прошивки устройства, тогда как обновление Photo Station доступно через Центр приложений Qnap.


ИБ-специалист Генри Хуан (Henry Huang) рассказал о четырех критических уязвимостях, влияющих на десятки или даже сотни тысяч устройств Qnap NAS. Дело в том, что три из четырех обнаруженных проблем оказались связаны с предустановленным приложением для создания фотоальбомов Photo Station. Это приложение можно найти на 80% девайсов Qnap. В итоге, по мнению исследователя, приблизительное количество уязвимых устройств составляет около 450 000 (основываясь на данных IoT-поисковика Shodan и собственной приблизительной оценке эксперта). Как уже было сказано выше, три уязвимости влияют на приложение Photo Station (версии до 6.0.3, 5.2.11, 5.4.9), а четвертый баг связан с приложением файлового менеджера QTS. Все четыре проблемы набрали 9,8 баллов по шкале оценки уязвимостей CVSS, то есть имеют статус критических: CVE-2019-7192(Photo Station); CVE-2019-7194(Photo Station); CVE-2019-7195(Photo Station); CVE-2019-7193 (файловый менеджер QTS). Хуже того, три уязвимости в Photo Station можно объединить в единую цепочку: обойти аутентификацию с помощью CVE-2019-7192 внедрить вредоносный код в PHP-сессию приложения Photo Station, используя CVE-2019-7194 , а затем установить веб-шелл на уязвимое устройство, применив CVE-2019-7195. Так как Photo Station работает с root-привилегиями, атакующий получает возможность установить полный контроль над проблемным устройством Qnap. Хуан пишет, что обнаружил эти уязвимости и сообщил о них представителям Qnap еще в июне 2019 года. Компания исправила все найденные баги и обновила Photo Station и QTS в ноябре 2019 года, однако эксперт выждал несколько месяцев перед раскрытием данных о багах, так как хотел дать пользователям больше времени на установку патчей. Отмечу, что обновление QTS потребует обновления прошивки устройства, тогда как обновление Photo Station доступно через Центр приложений Qnap.

Теги: CSS

Просмотров: 421
Комментариев: 0:   20-05-2020, 20:04
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: