QNAP fixes high severity QTS, QES, and QuTS hero vulnerabilities

QNAP이 QES, QTS, QuTS hero OS를 실행하는 NAS 기기에 영향을 미치는 심각도 높은 보안 취약점 다수를 수정하는 보안 업데이트를 공개했습니다.

QNAP은 FreeBSD, 리눅스, 128bit ZFS 기반 OS의 이전 버전에 영향을 미치는 취약점 6개를 수정했습니다.

TIM Security Red Team Research, Lodestone Security, CFF of Topsec Alpha Team은 명령 인젝션, 크로스-사이트 스크립팅(XSS), 하드코딩된 패스워드 보안 버그를 발견해 제보했습니다.

금일 수정된 XSS 취약점은 원격 공격자가 악용에 성공할 경우 취약한 앱 버전에 악성 코드를 주입하도록 허용할 수 있습니다.

공격자가 명령 주입 버그를 악용할 경우 취약한 기기나 프로그램에서 권한을 상승시키거나, 임의 명령어를 실행하거나, 심지어 설치된 OS를 장악할 수도 있습니다.

QNAP에서 금일 패치한 취약점의 목록은 아래와 같습니다.

• CVE-2020-2503: QES의 Stored 사이트 간 스크립팅 취약점 – 원격 공격자가 File Station에 악성 코드를 주입하도록 허용

• CVE-2020-2504: QES의 절대 경로 조작 취약점 (Absolute path traversal) – 공격자가 File Station의 파일을 탐색하도록 허용

• CVE-2020-2505: QES 취약점 – 공격자가 에러 메시지를 생성해 민감 정보를 얻도록 허용

• CVE-2016-6903: QES의 명령 인젝션 취약점 – 원격 공격자가 Ishell에서 임의 명령어를 실행하도록 허용

• CVE-2020-2499: QES의 하드코딩된 패스워드 취약점 – 공격자가 하드코딩된 패스워드로 로그인하도록 허용

• CVE-2020-25847: QTS, QuTS hero의 명령 인젝션 취약점 – 공격자가 해킹된 프로그램에서 임의 명령을 실행하도록 허용

QNAP은 QES 2.1.1 빌드 20201006 및 이후 버전, QTS 4.5.1.1495 빌드 20201123 (및 이후 버전), QuTS hero h4.5.1.1491 빌드 20201119의 보안 취약점을 수정했다고 밝혔습니다.

QNAP은 기기를 보호하기 위해서는 시스템을 최신 버전으로 업데이트해 취약점을 수정할 것을 권고했습니다.

NAS 기기에 적용할 수 있는 최신 업데이트를 확인하려면 제품 지원 상태를 확인해보시기 바랍니다.

QNAP에서 오늘 공개한 보안 업데이트를 NAS 기기에 배포하려면 아래 절차를 따라야 합니다.

  1.    QES, QTS, QuTS hero에 관리자로 로그인
  2.    제어판 > 시스템 > 펌웨어 업데이트로 이동
  3.    라이브 업데이트 아래 ‘업데이트 확인’을 누름
       QES, QTS, QuTS hero에서는 최신 업데이트를 다운로드 및 설치할 것입니다.

QNAP의 웹사이트 내 지원 다운로드 센터에서도 업데이트를 수동으로 다운로드 및 설치할 수 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/qnap-fixes-high-severity-qts-qes-and-quts-hero-vulnerabilities/

https://www.qnap.com/en/security-advisories