CVE-2020-2509

Суть уязвимости

Уязвимость (CVE-2020-2509) в устройствах QNAP NAS позволяет злоумышленнику выполнить произвольные команды на системе. Это происходит из-за недостаточной проверки входных данных в веб-интерфейсе. Атакующий может отправить специально сформированный HTTP-запрос, содержащий вредоносные команды, которые будут выполнены с привилегиями веб-сервиса.

Как исправить

Установите последнюю версию прошивки (QTS или QuTS hero), в которой уязвимость устранена. Конкретные минимальные версии с патчем: * QTS 4.4.1: установите QTS 4.4.1.1216 или новее. * QTS 4.3.6: установите QTS 4.3.6.1260 или новее. * QTS 4.3.3: установите QTS 4.3.3.1252 или новее.

Действия: 1. Войдите в веб-интерфейс QTS как администратор. 2. Перейдите в Панель управления > Система > Обновление прошивки. 3. Нажмите "Проверить наличие обновлений" и установите предложенную последнюю версию. 4. После обновления перезагрузите NAS.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска: 1. Ограничьте доступ к веб-интерфейсу: * В настройках брандмауэра QTS разрешите доступ к портам управления (по умолчанию 8080, 443) только с доверенных IP-адресов (офис, VPN). * Отключите проброс портов 8080/443 на NAS в настройках маршрутизатора. 2. Отключите неиспользуемые службы: * В Панель управления > Сеть и файловые службы > Службы Telnet/SSH/FTP отключите все, которые не используются. 3. Используйте VPN: * Полностью отключите прямой доступ к веб-интерфейсу из интернета. Организуйте доступ к NAS только через корпоративную VPN (например, используя встроенное приложение QVPN).