QNAP NAS SQL kritična ranjivost

QNAP NAS SQL kritična ranjivost je prisila kompaniju QNAP da objavi novo upozorenje korisnicima NAS uređaja na ranjivost koja omogućava ubacivanje proizvoljnog kôda.

QNAP NAS SQL kritična ranjivost, Dizajn: Saša Đurić

Ranjivost je označena kao CVE-2022-27596 (ocjena ranjivosti CVSS 9.8), koja omogućava SQL injekciju koja pogađa QuTS hero i QTS, konkretno uređaje sa verzijom QTS 5.0.1 i QuTS hero h5.0.1, kako je navedeno u objavi kompanije. Navedena ranjivost je laka za iskorištavanje i ne zahtjeva djelovanje korisnika ili posebne korisničke privilegije.

Kompanija QNAP je objavila ažuriranje i savjetuje svim korisnicama da ažuriraju svoje NAS uređaje na QTS 5.0.1.2234 build 20221201 i novije, odnosno QuTS hero h5.0.1.2248 build 20221215 i novije. Savjetuje se korisnicima da ova ažuriranja primjene što prije i bez odlaganja kako im uređaji ne bi bili zaraženi ransomware-om ili nekim drugim zlonamjernim softverom.

Procedura za ažuriranje je slijedeća:

1. Prijava na uređaj sa administratorskim nalogom.
2. Otići na Control Panel > System > Firmware Update.
3. Pod opcijom Live Update izabrati Check for Update.
4. Preuzimanje i instalacija najnovijeg ažuriranja.

Korisnici mogu također preuzeti ažuriranje sa stranice za podršku proizvođača, tako što će otići na Support > Download Center i pokrenuti ručno ažuriranje uređaja.

Korisnicima se savjetuje da onemoguće direktni pristup NAS uređajima sa Interneta, a da za daljinski pristup koriste VPN.