Тайваньская компания Qnap Systems выпустила патчи для нескольких уязвимостей в QTS и QuTS Hero. Ранее эти проблемы были обнаружены и продемонстрированы в рамках хакерского соревнования Pwn2Own Ireland, прошедшего осенью 2024 года.
Участники Pwn2Own заработали десятки тысяч долларов на эксплоитах для продуктов Qnap, а одна из атак и вовсе принесла специалистам 100 000 долларов (хотя в ней были задействованы не только баги в устройствах Qnap, но и TrueNAS).
Самая серьезная из исправленных теперь проблем получила идентификатор CVE-2024-50393 (8,7 балла по шкале CVSS). Она позволяла удаленным злоумышленникам выполнять произвольные команды на уязвимых устройствах.
Еще одна уязвимость, CVE-2024-48868 (8,7 балла по шкале CVSS), представляет собой CRLF-инъекцию, которая могла использоваться для модификации данных приложения. Эксплуатация проблемы была связана с тем, что специальные элементы CRLF встраиваются в код, например в HTTP-заголовки, для обозначения EOL-маркеров.
Разработчики Qnap устранили эти ошибки в составе QTS 5.1.9.2954 build 20241120, QTS 5.2.2.2950 build 20241114, QuTS Hero h5.1.9.2954 build 20241120 и QuTS Hero h5.2.2.2952 build 20241116.
Кроме того, свежие обновления устраняют баг CVE-2024-48865 (7,3 балла по шкале CVSS) — проблему некорректной проверки сертификатов, которая позволяла злоумышленникам в локальной сети нарушить безопасность системы.
Также был исправлен ряд менее значимых уязвимостей, связанных с некорректной аутентификацией и инъекциями CRLF, а также проблемы, связанные с кодировкой Hex и строкой формата.
Стоит отметить, что в минувшие выходные специалисты Qnap отдельно сообщали об устранении еще одной опасной ошибки, обнаруженной в License Center. Уязвимость CVE-2024-48863 (7,7 балла по шкале CVSS) позволяла удаленным злоумышленникам выполнять произвольные команды на уязвимых устройствах. Исправление этого бага вошло в состав Qnap License Center 1.9.43.