QNAP waarschuwt voor kwetsbaarheden die overname NAS mogelijk maken

[Captain Kirk]

NAS-fabrikant QNAP waarschuwt eigenaren van een NAS-systeem voor verschillende kwetsbaarheden waardoor aanvallers in het ergste geval NAS-apparaten op afstand kunnen overnemen. De kwetsbaarheden zijn beoordeeld als kritiek en 'high' en bevinden zich in onderdelen die in het verleden vaker bij aanvallen zijn misbruikt. QNAP roept gebruikers op om de beschikbare updates te installeren.

In QTS, QuTS hero en QuTScloud heeft QNAP vier kwetsbaarheden verholpen die het mogelijk maken voor aanvallers om willekeurige commando's op NAS-systemen uit te voeren, toegang tot vertrouwelijke bestanden te krijgen, kwaadaardige code te injecteren en gebruikers naar een malafide pagina door te sturen die malware bevat. Hoe aanvallers de beveiligingslekken precies kunnen misbruiken laat QNAP niet weten.

In Photo Station is een kwetsbaarheid gedicht die het mogelijk maakt om "de veiligheid van het systeem te compromitteren". Verdere details geeft QNAP niet. Photo Station is een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Beveiligingslekken in deze software zijn in het verleden gebruikt bij ransomware-aanvallen.

Een kritieke kwetsbaarheid in QVR maakt het mogelijk voor aanvallers om willekeurige commando's op NAS-systemen uit te voeren. QVR is een videosurveillancetool van QNAP. Tevens is de NAS-fabrikant met updates gekomen voor Video Station, waarmee twee kwetsbaarheden verholpen waardoor aanvallers toegang tot vertrouwelijke gegevens kunnen krijgen en ongeautoriseerde acties kunnen uitvoeren.

 

bron: https://www.security.nl