Onlangs heeft QNAP updates vrijgegeven voor de besturingssystemen QTS en QuTS hero, waarbij verbeterde veiligheidsmaatregelen zijn geïmplementeerd.
Deze updates zijn gericht op het dichten van drie beveiligingslekken, waarvan één als een aanzienlijk risico wordt beschouwd. Deze kwetsbaarheden hebben betrekking op apparaten die draaien op de QTS- en QuTS hero-besturingssystemen, met name de NAS-apparaten van Qnap.
Kwetsbaarheden en risico’s
De ernstigste kwetsbaarheid, aangeduid als “onvoldoende coderingssterkte“, is aangetroffen in diverse Qnap-besturingssystemen. Hackers kunnen het lokale netwerk exploiteren door brute force-aanvallen uit te voeren om versleutelde gegevens te ontsleutelen. De exacte aanvalsvectoren zijn niet specifiek aangegeven (CVE-2023-34971, CVSS 7.1, risico: “hoog”).
Bovendien heeft de fabrikant ook andere kwetsbaarheden geïdentificeerd. Bijvoorbeeld, gevoelige informatie kan onbedoeld inzichtelijk worden verzonden (CVE-2023-34972, CVSS 3.5, risico: “laag”), en er is sprake van ontoereikende entropie, wat aanvallers in staat zou kunnen stellen om vertrouwelijke informatie te raden (CVE-2023-34973, CVSS 3.1, risico: “laag”).
Details van de updates
De nieuwste updates omvatten correcties voor verschillende versies van het besturingssysteem:
- QTS 5.1.0.2444 build 20230629
- QTS 5.0.1.2425 build 20230609
- QTS 4.5.4.2467 build 20230718
- QuTS hero h5.1.0.2424 build 20230609
- QuTS hero h4.5.4.2476 build 20230728 en latere versies.
De kwetsbaarheid met een hoog risico beïnvloedt uitsluitend de 4.5-versies. Volgens Qnap zijn er geen beveiligingslekken die als lage bedreiging worden geclassificeerd.
Updateprocedure voor gebruikers
Gebruikers kunnen inloggen met een beheerdersaccount op QTS of QuTS hero, en de update vinden en installeren via het configuratiescherm onder “Systeem” en “Firmware Update” met behulp van “Live Update.”
Eerdere beveiligingslekken en updates
In een recent geval in juli moest Qnap ook al beveiligingslekken in verschillende netwerkapparaten aanpakken. Deze updates hebben een beveiligingsgerelateerde fout opgelost die als een hoog risico werd beschouwd, en die het mogelijk maakte om de apparaten in het netwerk te verstoren.
Altijd je beveiliging up-to-date houden?
Schrijf je in voor de gratis nieuwsbrief: