Af Eskil Sørensen, 23/06/22
QNAP har advaret sine kunder om, at nogle af dets Network Attached Storage (NAS)-enheder (med ikke-standardkonfigurationer) er sårbare over for angreb, der kan udnytte en tre år gammel kritisk PHP-sårbarhed, der tillader fjernafvikling af kode. Fejlen har id’et CVE-2019-11043 og en score på 8,7 på CVSS-skalaen.
QNAP skriver i sin advisory, at sårbarheden påvirker PHP-version 7.1.x før 7.1.33, 7.2.x før 7.2.24 og 7.3.x før 7.3.11. Hvis sårbarheden udnyttes, er det muligt for at fjernafvikle kode. dvs. remote code execution (RCE)..
QNAP anbefaler sine kunder at opdatere relevante systemer til nyeste version, hvor QNAP har rettet sikkerhedsfejlen for nogle versioner af operativsystemer, der er udsat for angreb.
Automatisk opdatering af QNAP-kunders NAS-enheder kan ske ved at man logger på QTS, QuTS hero eller QuTScloud som administrator og klikker på knappen "Søg efter opdatering" under Kontrolpanel > System > Firmwareopdatering. Manuel opgradering af enheden kan ske via download fra QNAP-webstedet fra Support > Downloadcenter.
Links:
https://www.bleepingcomputer.com/news/security/critical-php-flaw-exposes-qnap-nas-devices-to-rce-attacks/
https://www.qnap.com/en/security-advisory/QSA-22-20