В QNAP Surveillance Station исправлена критическая уязвимость

Поставщик сетевых устройств QNAP исправил критическую уязвимость в приложении Surveillance Station, позволяющую удаленное выполнение кода на сетевых хранилищах (NAS) с уязвимым ПО.

Surveillance Station представляет собой систему управления видео (VMS) от компании QNAP, с помощью которой пользователи могут осуществлять мониторинг и управлять до 12 IP-камер одновременно. Приложение используется на сетевых накопителях QNAP Turbo NAS, поддерживает более 3 тыс. моделей IP-камер и может устанавливаться из QTS App Center.

Исправленная проблема представляет собой уязвимость переполнения буфера в стеке ( CVE-2020-2501 ) и в случае успешной эксплуатации может позволить злоумышленнику удаленно выполнить на устройстве вредоносный код. При успешной эксплуатации уязвимости для выполнения произвольного кода атакующий также сможет регулярно подрывать любые службы безопасности или антивирусные решения, работающие на скомпрометированном устройстве.

Проблема была устранена в следующих версиях ПО:

Surveillance Station 5.1.5.4.3 (и более поздних) для ARM CPU NAS (64-разрядная ОС) и x86 CPU NAS (64-разрядная ОС);

Surveillance Station 5.1.5.3.3 (и более поздних) для ARM CPU NAS (32-разрядная ОС) и x86 CPU NAS (32-разрядная ОС).

Сетевые хранилища являются привлекательной целью для хакеров. Как правило, эти устройства используются для хранения резервных копий и обмена файлами, поэтому их атакуют киберпреступники, желающие похитить конфиденциальные документы или развернуть инфостилеры.

В сентябре 2020 года компания QNAP предупредила своих пользователей о вымогательском ПО AgeLocker, атакующем доступные через интернет NAS-устройства.