Разработчики Qnap сообщают, что работают над обновлением своих операционных систем QTS и QuTS, так как Netatalk в прошлом месяце выпустила исправления, устраняющие сразу семь уязвимостей в своем ПО. Пользователей просят временно отключить протокол AFP на своих сетевых хранилищах, пока критические баги не будут исправлены.
Netatalk — опенсорсная имплементация AFP (Apple Filing Protocol), которая позволяет системам *NIX/*BSD выступать в качестве файлового сервера AppleShare (AFP) для macOS-клиентов. На устройствах Qnap AFP позволяет macOS-системам получать доступ к данным NAS. Разработчики пишут, что протокол все еще используется, потому как «поддерживает множество уникальных атрибутов macOS, которые не поддерживаются другими решениями».
22 марта 2022 года разработчики Netatalk выпустили версию 3.1.13, где устранили следующие проблемы: CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022- 23124, CVE-2022-23125 и CVE-2022-0194, которые могут использоваться для выполнения произвольного кода.
Опасения разработчиков Qnap связаны с тем, что еще в 2021 году, в ходе хакерского соревнования Pwn2Own, участники команды EDG из NCC Group воспользовались уязвимостью CVE-2022-23121, получившей 9,8 балла из 10 возможных по шкале оценки CVSS, для удаленного выполнения кода (без аутентификации) на сетевом хранилище Western Digital PR4100 под управлением My Cloud OS.
Кроме того, еще три уязвимости из вышеперечисленных (CVE-2022-23125, CVE-2022-23122, CVE-2022-0194) тоже набрали 9,8 балла по шкале CVSS, и все они позволяют неаутентифицированным злоумышленникам выполнять произвольный код удаленно.
Теперь, после выхода патчей, в Qnap сообщили, что уязвимости в Netatalk уже исправлены в QTS 4.5.4.2012 билд 20220419 и более поздних версиях, но затрагивают следующие продукты:
- QTS 5.0.x и выше;
- QTS 4.5.4 и выше;
- QTS 4.3.6 и выше;
- QTS 4.3.4 и выше;
- QTS 4.3.3 и выше;
- QTS 4.2.6 и выше;
- QuTS hero h5.0.x и выше;
- QuTS hero h4.5.4 и выше;
- QuTScloud c5.0.x.
Пока патчи для всех продуктов не станут доступны, производитель настоятельно рекомендует владельцам NAS отключить временно AFP на своих устройствах.
Источник: xakep