Новости компьютерной безопасности:

  Latest News

QNAP 0-Day Flaw : 289,000+ Devices Found Vulnerable

С сайта: Vulnerability(cybersecuritynews.com)

QNAP 0-Day Flaw : 289,000+ Devices Found Vulnerable

Author: Eswar

Last week, QNAP released a security advisory in which multiple vulnerabilities were fixed in QTS, QuTS hero and QuTScloud products.

The vulnerabilities were assigned with CVE-2023-47218 and CVE-2023-50358. The severity of these vulnerabilities were given as 5.8 (Medium).

However, it has been discovered that there were a total of 289,665 vulnerable devices that are potentially exploitable by threat actors.

📁🄳🄾🄲🅄🄼🄴🄽🅃

These devices most existed in Germany, USA, China, Italy, Japan, Taiwan, France, and several other nations.

cyber security newsVulnerable Devices based on Country (Source: Unit 42)
QNAP 0-day Flaw
Palo Alto said that, this vulnerability is associated with a command injection which exists in the quick.cgi component of QNAP QTS firmware that can be accessed without authentication. QNAP QTS stands for (QNAP Turbo network attached storage System). 

When setting the HTTP parameter todo=set_timeinfo, the quick.cgi request handler saves the value of the parameter SPECIFIC_SERVER into the configuration file /tmp/quick/quick_tmp.conf under the name NTP Address.

After this, the quick.cgi component starts time synchronization with the ntpdate utility where the command-line execution happens.

This utility reads the NTP Address in the quick_tmp.conf file which is then executed using system().

This means that if an untrusted input is provided in the SPECIFIC_SERVER parameter, it is passed through the phases and executed via system() resulting in an arbitrary command execution on the vulnerable device.

cyber security newsTesting for exploitation (Source: Unit 42)
Mitigation
In order to mitigate this vulnerability, users can follow the below mentioned steps

  • Test the URL: https://:/cgi-bin/quick/quick.cgi on the browser
  • If there is a HTTP 404 Error, the device is not vulnerable. If there is a “Page Not Found” or “the web server is currently available”, there is a possibility of vulnerability on the device.
  • If there is an empty page with HTTP 200 response, the following steps are recommended:
    • Update your operating system to one of the following versions or later:
      • QTS 5.0.0.1986 build 20220324 or later
      • QTS 4.5.4.2012 build 20220419 or later
      • QuTS h5.0.0.1986 build 20220324 or later
      • QuTS h4.5.4.1991 build 20220330 or later
  • Retest the same URL on the web browser. If the result is an HTTP 404 error, the device is secured.
  • If the HTTP 200 response still persists, contacting QNAP technical support is advised.



#Cyber_Security #Cyber_Security_News #Vulnerability #0-day_Exploit #Cybersecurity_Mitigation #QNAP_Vulnerability

Оригинальная версия на сайте: QNAP 0-Day Flaw : 289,000+ Devices Found Vulnerable
Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.

Вернуться к списку новостей Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.


Новости проекта CSN:

✉ CSN.net4me.net

Обновление сайта csn.net4me.net

Обновление сайта csn.net4me.net 💻
cyber security news
  • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
  • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
  • Изменен механизм обработки и отображения опасных и критических уязвимостей.

Благодарим что вы с нами.


#CSN_обновление_сайта
https://csn.net4me.net/cyber_security_8301.html

Дополнительный материал

О проекте CSN

Проект CSN.net4me.net родился 16 Марта 2018 года.
Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

О проекте net4me

Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

Об источниках

Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

Информация

Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.