CVE-2018-19949

Суть уязвимости

Уязвимость в компоненте File Station веб-интерфейса QNAP NAS (QTS и QuTS hero). Злоумышленник, имеющий доступ к веб-интерфейсу (даже с правами гостя), может внедрить и выполнить произвольные системные команды через специально сформированный HTTP-запрос. Это позволяет получить контроль над устройством.

Как исправить

Установите последнюю исправленную версию прошивки (QTS/QuTS hero) для вашей модели NAS. Уязвимость устранена в следующих версиях: * QTS 4.4.1: версия 4.4.1.1064 и выше. * QTS 4.3.6: версия 4.3.6.0895 и выше. * QTS 4.3.4: версия 4.3.4.0892 и выше. * QTS 4.3.3: версия 4.3.3.0927 и выше. * QuTS hero h4.5.1: версия h4.5.1.1491 и выше.

Действия: 1. Войдите в веб-интерфейс QTS/QuTS hero как администратор. 2. Перейдите в Панель управления > Система > Обновление центра. 3. Нажмите "Проверить наличие обновлений" и установите последнюю доступную версию из списка выше. 4. После обновления перезагрузите NAS.

Временное решение

Если немедленное обновление невозможно, выполните следующие действия для снижения риска:

1. Отключите File Station:

   • Перейдите в Панель управления > Приложения > Службы.
   • Найдите File Station и снимите галочку "Включить".
   • Нажмите "Применить".

2. Ограничьте доступ к веб-интерфейсу:

   • В Панель управления > Безопасность > Защита сети настройте "Разрешить доступ" только с доверенных IP-адресов (например, офисной сети).
   • Отключите проброс портов (Port Forwarding) для портов веб-интерфейса (обычно 8080, 443) на маршрутизаторе.

3. Используйте VPN:

   • Отключите прямой доступ к веб-интерфейсу из интернета. Настройте VPN-сервер (например, QVPN) на NAS и предоставляйте доступ к устройствам только через VPN-подключение.