Spoločnosť QNAP Systems vydala opravy viacerých zraniteľností vo svojich zariadeniach NAS (Network Attached Storage), vrátane chyby, pre ktorú bol minulý týždeň zverejnený kód proof-of-concept.
Podľa WatchTowr vedie táto zraniteľnosť k pretečeniu zásobníka a môže byť použitá na vzdialené spustenie kódu. Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou, ktorá zdieľala technické podrobnosti o CVE-2024-27130, tiež zverejnila zariadenia na zacielenie kódu so zakázaným zmierňovaním náhodného rozloženia adresného priestoru (ASLR).
Keďže ASLR je predvolene zapnutá na všetkých zariadeniach QNAP so systémom QTS 4.xa 5.x, úspešné využitie chyby je podstatne ťažšie.
QNAP vyriešil chybu vydaním QTS 5.1.7.2770 zostavy 20240520 a QuTS hero h5.1.7.2770 zostavy 20240520, ktoré tiež riešia štyri ďalšie zraniteľnosti hlásené WatchTowr.
Ďalšie informácie je možné nájsť na stránkach:
https://www.securityweek.com/qnap-rushes-patch-for-code-execution-flaw-in-nas-devices
https://www.qnap.com/en/security-advisory/qsa-24-23
https://labs.watchtowr.com/qnap-qts-qnapping-at-the-wheel-cve-2024-27130-and-friends