सुप्रसिद्ध NAS निर्माता QNAP अपने नेटवर्क उत्पादों में दो अत्यधिक खतरनाक कमजोरियों और विंडोज़ के लिए अपने वीपीएन डिवाइस क्लाइंट में एक अन्य भेद्यता की रिपोर्ट करता है। अंतराल के माध्यम से एक दूरस्थ हमला संभव है - उपयुक्त पैच उपलब्ध हैं।
QNAP द्वारा घोषित कमजोरियाँ नेटवर्क उत्पादों के भीतर उपयोग किए जाने वाले कई अनुप्रयोगों को प्रभावित करती हैं। सेवाएँ एसएमई क्षेत्र के लिए बड़े एनएएस सिस्टम में भी संचालित होती हैं और काम करती हैं। इसलिए, छोटे, निजी तौर पर उपयोग किए जाने वाले NAS सिस्टम या कैमरों के अलावा, कंपनी के कई उत्पाद भी सुरक्षा अंतराल से प्रभावित होते हैं।
DoS हमले के लिए रिमोट टेकओवर संभव
QNAP की रिपोर्ट है कि अनियंत्रित संसाधन खपत से संबंधित भेद्यता कई QNAP ऑपरेटिंग सिस्टम को प्रभावित करती है। यदि भेद्यता का फायदा उठाया जाता है, तो दूरस्थ उपयोगकर्ता सेवा से इनकार (DoS) हमला शुरू कर सकते हैं। भेद्यता को CVE-2022-27600 के रूप में सूचीबद्ध किया गया है। सटीक सीवीएसएस मान ज्ञात नहीं है, लेकिन अत्यधिक खतरनाक के लिए 7.0 से 8.9 की सीमा में होना चाहिए।
अद्यतन के लिए उपलब्ध निम्नलिखित संस्करणों में भेद्यता पहले ही ठीक कर दी गई है:
- QTS 5.0.1.2277 बिल्ड 20230112 और बाद का संस्करण
- QTS 4.5.4.2280 बिल्ड 20230112 और बाद का संस्करण
- QuTS हीरो h5.0.1.2277 बिल्ड 20230112 और बाद का संस्करण
- QuTS हीरो h4.5.4.2374 बिल्ड 20230417 और बाद का संस्करण
- QuTScloud c5.0.1.2374 बिल्ड 20230419 और बाद का संस्करण
- QVR प्रो उपकरण 2.3.1.0476 और बाद का संस्करण
QVPN डिवाइस क्लाइंट में एक और भेद्यता
इसके अलावा, QNAP विंडोज़ के लिए अपने QVPN डिवाइस क्लाइंट में एक भेद्यता की रिपोर्ट करता है। CVE-2022-27595 के तहत भेद्यता को भी अत्यधिक खतरनाक माना जाता है। वहां, लाइब्रेरी लोड करना असुरक्षित है और विंडोज़ के लिए QVPN डिवाइस क्लाइंट चलाने वाले डिवाइस को प्रभावित कर सकता है। यदि शोषण किया जाता है, तो यह भेद्यता स्थानीय रूप से प्रमाणित उपयोगकर्ताओं को लाइब्रेरी को असुरक्षित रूप से लोड करके कोड निष्पादित करने की अनुमति दे सकती है। MacOS, Android और iOS के लिए QVPN डिवाइस क्लाइंट भेद्यता से प्रभावित नहीं होता है।
इस अंतर के लिए एक अद्यतन भी उपलब्ध है:
विंडोज़ के लिए QVPN डिवाइस क्लाइंट, संस्करण 2.0.0.1316 और उच्चतर
QNAP.com पर और अधिक