CVE-2019-7193

QNAP QTS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

QNAP QTS contains an improper input validation vulnerability allowing remote attackers to inject code on the system.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2019-7193 представляет собой критическую уязвимость типа Improper Input Validation (недостаточная проверка входных данных) в операционной системе QNAP QTS. Проблема локализована в компоненте Photo Station.

Дистанционный злоумышленник может отправить специально сформированный HTTP-запрос к веб-интерфейсу устройства, что позволяет обойти механизмы безопасности и внедрить произвольный код в систему. Уязвимость позволяет выполнить команды с привилегиями веб-сервера, что в конечном итоге может привести к полному захвату контроля над сетевым хранилищем (NAS), краже данных или развертыванию программ-вымогателей.

Как исправить

Основным способом устранения уязвимости является обновление микропрограммы QTS и приложения Photo Station до версий, в которых ошибка была исправлена производителем.

  1. Обновите QTS до одной из следующих версий (или более новых):
  2. QTS 4.4.1.1101 build 20191025
  3. QTS 4.3.6.1070 build 20190919
  4. QTS 4.3.4.1082 build 20190921
  5. QTS 4.3.3.1091 build 20190921
  6. QTS 4.2.6 build 20190921

Для обновления через веб-интерфейс: - Перейдите в Control Panel > System > Firmware Update. - Нажмите Check for Update.

  1. Обновите Photo Station до актуальной версии через App Center:
  2. Откройте App Center.
  3. Найдите Photo Station.
  4. Нажмите Update.

Для принудительной проверки обновлений через CLI (SSH):

qfixman --check_update

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать векторы атаки:

  1. Отключите приложение Photo Station в App Center, если оно не используется.
  2. Закройте доступ к веб-интерфейсу управления NAS из внешних сетей (Интернет). Удалите проброс портов 80, 443, 8080 и 4443 на роутере.
  3. Отключите службу UPnP на QNAP и на роутере:
  4. Control Panel > Network & Virtual Switch > MyDDNS/Cloud Portal > UPnP Port Forwarding.
  5. Используйте VPN (например, QVPN Service) для удаленного доступа к устройству вместо прямой публикации портов.
  6. Измените стандартные порты веб-интерфейса.
  7. Включите блокировку IP-адресов после неудачных попыток входа:
  8. Control Panel > System > Security > IP Access Protection.

Проверка запущенных процессов, связанных с Photo Station (через SSH):

ps | grep PhotoStation
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей