CVE-2022-27593

QNAP Photo Station

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-09-08

Официальное описание

Certain QNAP NAS running Photo Station with internet exposure contain an externally controlled reference to a resource vulnerability which can allow an attacker to modify system files. This vulnerability was observed being utilized in a Deadbolt ransomware campaign.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-27593 представляет собой критическую уязвимость типа Externally Controlled Reference to a Resource (внешне контролируемая ссылка на ресурс). Она позволяет неавторизованному злоумышленнику изменять системные файлы на устройствах QNAP NAS.

Основная опасность заключается в том, что данная брешь активно эксплуатировалась в кампаниях по распространению программ-вымогателей Deadbolt. Уязвимость затрагивает приложение Photo Station, выставленное в интернет. Атакующий может манипулировать путями к файлам, что ведет к компрометации целостности операционной системы QTS и последующему шифрованию данных пользователя.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление приложения Photo Station до версий, в которых ошибка была исправлена.

  1. Войдите в веб-интерфейс QTS под учетной записью администратора.
  2. Откройте App Center.
  3. Нажмите на иконку поиска и введите Photo Station.
  4. Если доступно обновление, нажмите кнопку Update (Обновить).

Безопасные версии Photo Station: * Для QTS 5.0.1: Photo Station 6.1.2 и выше. * Для QTS 5.0.0/4.5.x: Photo Station 6.0.22 и выше. * Для QTS 4.3.6: Photo Station 5.7.18 и выше. * Для QTS 4.3.3: Photo Station 5.4.15 и выше. * Для QTS 4.2.6: Photo Station 5.2.14 и выше.

Также рекомендуется обновить саму операционную систему QTS до последней доступной версии через Control Panel -> Firmware Update.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и изолировать устройство.

  1. Отключите Photo Station: В App Center найдите Photo Station, нажмите на стрелку вниз рядом с кнопкой "Open" и выберите Stop.

  2. Отключите проброс портов (Port Forwarding): Удалите правила перенаправления портов 80, 443, 8080 и 4433 на вашем роутере, ведущие к NAS.

  3. Отключите UPnP на NAS: Зайдите в myQNAPcloud -> Auto Router Configuration и снимите галочку с Enable UPnP Port Forwarding.

  4. Используйте VPN для доступа: Вместо прямой публикации сервисов в интернет, настройте QVPN Service на NAS или используйте VPN-шлюз на роутере.

  5. Проверка на наличие признаков компрометации (Deadbolt): Проверьте наличие файлов с расширением .deadbolt и подмененную страницу входа. В случае заражения не перезагружайте устройство, чтобы не потерять данные в оперативной памяти, которые могут помочь при дешифровке.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей