Beveiligingsadvies NCSC-2024-0196 [1.00] [M/H] Kwetsbaarheden verholpen in QNAP QTS en QTS Hero

NCSC

QNAP heeft kwetsbaarheden verholpen in QTS en QTS Hero. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorie├źn schade:

Omzeilen van authenticatie
Omzeilen van beveiligingsmaatregel
(Remote) code execution (Administrator/Root rechten)
(Remote) code execution (Gebruikersrechten)
Toegang tot gevoelige gegevens

NCSC-2024-0196 [1.00] [De kans op misbruik van deze kwetsbaarheid is gemiddeld en de schade is hoog] Kwetsbaarheden verholpen in QNAP QTS en QTS Hero

QNAP, een leverancier van netwerkopslagoplossingen, heeft onlangs kwetsbaarheden verholpen in hun QTS en QTS Hero besturingssystemen. Een kwaadwillende kan deze kwetsbaarheden misbruiken om verschillende soorten schade aan te richten, zoals het omzeilen van authenticatie, het omzeilen van beveiligingsmaatregelen, het verkrijgen van (remote) code execution met administrator/root rechten, het verkrijgen van (remote) code execution met gebruikersrechten, en toegang krijgen tot gevoelige gegevens.

De producten van QNAP, zoals hun NAS (Network Attached Storage) apparaten, worden vaak gebruikt door zowel particulieren als bedrijven voor het opslaan en delen van bestanden en gegevens. Als er een beveiligingsrisico is op deze producten, kan de impact groot zijn. Een kwaadwillende kan bijvoorbeeld gevoelige bedrijfsgegevens stelen, ransomware installeren of zelfs complete systemen overnemen.

Het is daarom van cruciaal belang dat gebruikers van QNAP producten regelmatig updates uitvoeren en eventuele beveiligingsupdates direct installeren om de kwetsbaarheden te verhelpen en de risico’s op aanvallen te minimaliseren. Daarnaast is het ook belangrijk om sterke wachtwoorden te gebruiken, toegangsrechten goed te beheren en eventuele extra beveiligingsmaatregelen te implementeren om de beveiliging van deze systemen te verbeteren.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.


Mitigerende maatregel beschikbaar op advisories.ncsc.nl