Новая уязвимость в NAS QNAP — пользователям надо срочно обновить ОС

Производитель сетевых хранилищ QNAP сообщил о выявлении очередной уязвимости в своей программной платформе и порекомендовал владельцам устройств срочно обновить ПО. Примечательно, что ошибка обнаружена не в модулях самой QNAP, а в модулях PHP — языка программирования для веб-приложений.

Источник изображения: qnap.com

Уязвимость коснулась веток PHP 7.1.x до 7.1.33, 7.2.x до 7.2.24 и 7.3.x до 7.3.11 — в сочетании с некорректно сконфигурированным сервером nginx, который может использоваться для работы веб-интерфейса сетевых хранилищ QNAP. Для эксплуатации уязвимости необходим запуск nginx вместе с сервисом PHP-FPM — одним из наиболее эффективных методов развёртывания PHP. При этом отмечается, что nginx не является дефолтным веб-сервером в системах QNAP.

Как заявил производитель, уязвимости подвержены следующие версии фирменной программной платформы:

• QTS 5.0.x;
• QTS 4.5.x;
• QuTS hero h5.0.x;
• QuTS hero h4.5.x;
• QuTScloud c5.0.x.

К настоящему моменту уже выпущены обновления QTS 5.0.x и QuTS hero h5.0.x — работа над остальными ещё продолжается. Безопасными считаются версии QTS 5.0.1.2034 build 20220515 и более поздние, а также QuTS hero h5.0.0.2069 build 20220614 и более поздние.