Tilkynnt var um nokkra alvarlega veikleika í mismunandi stýrikerfum hjá QNAP [1].Alls voru gefnar út uppfærslur vegna 25 veikleika og eru fjórir þeirra merktir sem mjög alvarlegir. Ekki er vitað til þess að verið sé að misnota veikleikana [2]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Alvarlegir veikleikar (e. critical)
CVE-2023-45025
Veikleikinn CVE-2023-45025 með CVSSv3 veikleikastig upp á 9.0 gerir ógnaraðila kleift að keyra skipanir á stýrikerfi í gegnum netið (e. execute commands via a network).
CVE-2023-39297
Veikleikinn CVE-2023-39297 með CVSSv3 veikleikastig upp á 8.8 gerir auðkenndum ógnaraðila kleift að keyra skipanir á stýrikerfi í gegnum netið (e. execute commands via a network).
CVE-2023-47568
Veikleikinn CVE-2023-47568 með CVSSv3 veikleikastig upp á 8.8 gerir auðkenndum ógnaraðila kleift að keyra upp spillikóða á stýrikerfi í gegnum netið (e. inject malicious code via a network).
CVE-2023-47564
Veikleikinn CVE-2023-47564 með CVSSv3 veikleikastig upp á 8.0 gerir auðkenndum ógnaraðila kleift að lesa eða breyta tilföngum (e. resources) í gegnum netið.
Eftirfarandi kerfi eru veik fyrir gallanum
QTS: 5.1.x og 4.5.x
QuTS hero: h5.1.x og h4.5.x
QuTScloud: 5.x
Qsync Central: < 4.4.0.15 og < 4.3.0.11
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum
QTS: >= 5.1.4.2596 build 20231128 , >=4.5.4.2627 build 20231225
QuTS hero: >= h5.1.4.2596 build 20231128, >= h4.5.4.2626 build 20231225
QuTScloud: >= c5.1.5.2651
Qsync Central: >=4.4.0.15 og >=4.3.0.11
Tilvísanir:
[1] https://www.securityweek.com/qnap-patches-high-severity-bugs-in-qts-qsync-central/
[2] https://www.qnap.com/en/security-advisories
