Миллионы устройств QNAP подвержены критической PHP-уязвимости трехлетней давности

QNAP , тайваньская компания-производитель NAS , заявила, что активно работает над исправлением критической PHP-уязвимости трехлетней давности, которая может быть использована для удаленного выполнения кода. Уязвимость затрагивает версии PHP 7.1.x ниже 7.1.33, 7.2.x ниже 7.2.24 и 7.3.x ниже 7.3.11 с неправильной конфигурацией nginx. Отслеживаемая как CVE-2019-11043 (оценка 9,8 из 10 по шкале CVSS), ошибка может быть использована только тогда, когда на устройстве с ОС QNAP запущены nginx и php-fpm.

По словам представителей компании, QNAP NAS не подвержены уязвимости в стандартной конфигурации, так как в них не предустановлен nginx. Кроме того, уязвимость была исправлена для ОС QTS 5.0.1.2034 build 20220515 и QuTS hero h5.0.0.2069 build 20220614. Стоит отметить, что уязвимости все еще подвержены следующие версии ОС от QNAP:

• QTS 5.0.x и выше;

• QTS 4.5.x и выше;

• QuTS hero h5.0.x и выше;

• QuTS hero h4.5.x и выше;

• QuTScloud c5.0.x и выше.

Компания опубликовала предупреждение через неделю после того, как уведомила пользователей о новой волне атак вымогательского ПО DeadBolt и столкнулась с очередной атакой вредоноса ech0raix .