Skip to content

QNAP tizimlarida aniqlangan zaiflik hujumchilarga masofadan kod ishga tushirish imkonini beradi

QNAP tizimlarida ishlatiladigan QTS va QuTS hero operatsion tizimlarida xavfli zaiflik (CVE-2024-53691) aniqlangan bo‘lib, bu hujumchilarga foydalanuvchi huquqlarini qo‘lga kiritgan holda fayl tizimining ruxsat etilgan chegaralarini buzishga imkon beradi.

Mazkur zaiflikning xavfi CVSS v4 reytingi bo‘yi 8.7 ballni tashkil qiladi. U hujumchiga ehtiyotkorlik bilan tuzilgan ZIP fayl orqali simbolik bog‘lanma (symlink) yuklash imkoniyatini beradi. Yuklangan bog‘lanmalar tizimning shifrlash/de-shifrlash funksiyasini ekspluatatsiya qilish uchun ishlatiladi, bu esa hujumchiga arbitr fayl yozish imkoniyatini beradi.

Arbitr fayl yozish imkoniyati esa masofadan kod ijro etishni (RCE) amalga oshirish uchun ishlatilishi mumkin. Ushbu zaiflik hujumchiga tizimni to‘liq boshqarish huquqini, shu jumladan root foydalanuvchi darajasida zararli kodlarni ishga tushirish imkoniyatini beradi. Natijada, tizimning ma‘lumotlari buzilishi, tizimning ishlashi to‘xtashi yoki boshqa jiddiy zararlar keltirishi mumkin.

CVE-2024-53691 ekspluatatsiya qilinishi quyidagi amallarni o‘z ichiga oladi:

  1. ZIP faylni tayyorlash: Hujumchi simbolik bog‘lanmalarni o‘z ichiga olgan zararli ZIP konteynerini yaratadi. Bu bog‘lanmalar QNAP tizimidagi sezgir fayllar yoki kataloglarga yo‘naltirilgan bo‘ladi.
  2. ZIP faylni yuklash: Zaif bo‘lgan ilova nuqtasidan foydalanib, hujumchi zararli ZIP faylni QNAP qurilmasiga yuklaydi.
  3. Shifrlash/de-shifrlash funksiyasini qo‘zg‘atish: Tizim ushbu faylni qayta ishlash jarayonida, simbolik bog‘lanmalarni kuzatadi va ruxsatsiz fayl operatsiyalarini amalga oshiradi.
  4. Zararli kodni ishga tushirish: Hujumchi yozish imkoniyatidan foydalanib, zararli yukni (payload) tizimga joylashtiradi va uni root darajasida ishga tushiradi.

QNAP kompaniyasi ushbu zaiflikka qarshi muhim yangilanishlarni chiqardi. Quyidagi versiyalar ushbu xavfni bartaraf etadi:

QTS:

  • 5.1.8.2823 (2024-yil 12-iyul) va undan keyingi versiyalar
  • 5.2.0.2802 (2024-yil 20-iyun) va undan keyingi versiyalar

QuTS hero:

  • h5.1.8.2823 (2024-yil 12-iyul) va undan keyingi versiyalar
  • h5.2.0.2802 (2024-yil 20-iyun) va undan keyingi versiyalar

Qurilmalaringizni ushbu yangilanishlarga imkon qadar tezroq o‘tkazishingiz tavsiya etiladi. Yangilanishlarni rasmiy QNAP veb-saytidan yuklab olish yoki tizimning avtomatik yangilash funksiyasidan foydalanish orqali o‘rnatishingiz mumkin.

Foydalanuvchilarga tavsiyalar

Kiberxavfsizlik tahdidlari kundan-kunga rivojlanib borayotgan bir paytda, tizim va ma‘lumotlarning himoyasini ta‘minlash uchun quyidagi choralarga amal qilish tavsiya etiladi:

  1. Yangilanishlarni o‘z vaqtida o‘rnatish: Tizimingizni doimiy ravishda yangilab turing.
  2. Xavfsizlik tavsiyalarini kuzatib boring: QNAP va boshqa kiberxavfsizlik tashkilotlarining rasmiy maslahatlari va e‘lonlarini tekshirib turing.
  3. Kuchli parollar ishlating: Tizimga kirish uchun murakkab va noyob parollarni tanlang.
  4. Foydalanuvchi huquqlarini cheklash: Minimal huquqlar tamoyiliga amal qiling, ya‘ni foydalanuvchilarga zarur bo‘lgan eng kam imkoniyatlarni taqdim eting.

CVE-2024-53691 kabi zaifliklar tizimning xavfsizligi uchun jiddiy tahdid soladi. Bu kabi masalalarni bartaraf etish uchun yangilanishlarni vaqtida o‘rnatish va boshqa profilaktika choralari ko‘rish har bir foydalanuvchi uchun muhim hisoblanadi. Kiberxavfsizlikka bo‘lgan e‘tibor tizimning uzluksiz ishlashini va ma‘lumotlaringizning himoyasini ta‘minlashning asosiy shartidir.