CVE-2018-19943

QNAP Network Attached Storage (NAS)

ВЕРОЯТНОСТЬ 7.0%
Дата обнаружения

2022-05-24

Официальное описание

A cross-site scripting vulnerability affecting QNAP NAS File Station could allow remote attackers to inject malicious code.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа Cross-Site Scripting (XSS) в веб-интерфейсе File Station QNAP NAS. Злоумышленник может создать специальную ссылку, содержащую вредоносный JavaScript-код. Если авторизованный пользователь перейдет по этой ссылке, скрипт выполнится в его браузере в контексте сессии File Station, что может привести к краже сессионных cookies, перенаправлению на фишинговые страницы или выполнению несанкционированных действий от имени пользователя.

Как исправить

Установите последнюю версию прошивки (QTS или QuTS hero), в которой уязвимость исправлена. Уязвимость устранена в следующих версиях: * QTS 4.3.6.0895 build 20190115 и новее. * QTS 4.3.4.0899 build 20190114 и новее. * QTS 4.3.3.0894 build 20190115 и новее.

Действия: 1. Войдите в веб-интерфейс администратора QNAP (QTS/QuTS hero). 2. Перейдите в Панель управления > Обновление системы. 3. Нажмите "Проверить обновление". 4. Если доступна версия не ниже указанных выше, установите ее, нажав "Обновить систему". 5. Дождитесь перезагрузки устройства.

Для автоматической проверки и установки обновлений через SSH (если включена):

# Проверить доступные обновления
/usr/bin/update_util --check

# Установить все доступные обновления (устройство перезагрузится)
/usr/bin/update_util --install

Временное решение

Если немедленное обновление невозможно, выполните следующие действия для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу NAS:

    • В настройках брандмауэра QNAP (Панель управления > Брандмауэр) запретите доступ к портам HTTP (80) и HTTPS (443) со всех сетей, кроме доверенных (например, офисной подсети).
    • Используйте VPN для доступа к интерфейсу управления извне.

  2. Отключите ненужные службы:

    • Если File Station не используется, отключите его в Панель управления > Приложения > File Station.

  3. Настройте правила WAF (Web Application Firewall):

    • Если перед NAS используется внешний WAF (например, Cloudflare, ModSecurity на обратном прокси), настройте правила для блокировки типовых XSS-атак, например, проверку на наличие тегов <script>, javascript: и событийных атрибутов (onerror=, onclick=) в параметрах URL и теле запросов.

  4. Повысьте осведомленность пользователей:

    • Предупредите пользователей не переходить по подозрительным ссылкам, ведущим на внутренние ресурсы NAS, и всегда проверять URL.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей