Firma QNAP usunęła 14 luk w zabezpieczeniach serwerów NAS i zaleca aktualizację systemów QTS oraz QuTS

Firma QNAP opublikowała istotną aktualizację zabezpieczeń dla swoich urządzeń sieciowej pamięci masowej (NAS). Komunikat dotyczący bezpieczeństwa nr QSA-26-10, opublikowany 17 czerwca, dotyczy 14 luk w zabezpieczeniach systemów operacyjnych QTS, QuTS hero i QuTS cloud, a także systemu monitoringu QVP. Wszystkim użytkownikom urządzeń NAS firmy QNAP zaleca się jak najszybszą aktualizację w celu ochrony wrażliwych danych osobowych.

Jakie luki w zabezpieczeniach zostały załatane przez firmę QNAP

?

Wśród 14 zidentyfikowanych luk w zabezpieczeniach znajduje się kilka krytycznych, w tym luka umożliwiająca wstrzyknięcie adresu URL (CVE-2025-59382), która pozwala atakującym na zdalne manipulowanie linkami do resetowania hasła oraz zwabianie ofiar na fałszywe strony internetowe w celu kradzieży danych logowania. Kilka luk związanych z wstrzyknięciem poleceń umożliwia również uwierzytelnionym administratorom wykonywanie dowolnych poleceń systemowych. Szczególnie poważna jest luka w pamięci (CVE-2026-26241), która – według firmy QNAP – może zostać wykorzystana przez nieuwierzytelnionych sprawców ataków poprzez zmanipulowane pliki przesyłane do serwera o nadmiernie długich nazwach.

Lista podatnych wersji:

Urządzenia NAS

są

popularnym celem cyberataków, ponieważ wiele z nich działa w trybie ciągłym i jest dostępnych przez Internet. Podatne wersje to: QTS 5.2.7, QuTS hero h5.2.8, QuTS cloud c5.2.8 oraz QVP 2.7.1. Firma QNAP usunęła już te luki w zabezpieczeniach w nowszych wersjach, w tym w QTS 5.2.9.3499 i QuTS hero h5.2.9.

Jak zaktualizować serwer NAS firmy QNAP?

Aktualizację można zainstalować bezpośrednio na urządzeniu. W tym celu należy zalogować się do interfejsu internetowego, otworzyć Panel sterowania, przejść do sekcji System i Aktualizacja oprogramowania sprzętowego, a następnie sprawdzić dostępność nowych wersji oprogramowania. Alternatywnie odpowiednie oprogramowanie sprzętowe można pobrać z Centrum pobierania QNAP i zainstalować ręcznie. Po zakończeniu aktualizacji urządzenie NAS uruchomi się ponownie.

Jak zapewnić dodatkową ochronę urządzenia NAS

System NAS nie powinien być nigdy podłączony do Internetu bez odpowiedniej ochrony. Należy wyłączyć wszystkie niepotrzebne funkcje zdalnego dostępu oraz unikać przyznawania bezpośredniego dostępu online do konta administratora. Należy stosować silne, unikalne hasła oraz włączyć uwierzytelnianie dwuskładnikowe. Jeśli muszą Państwo uzyskać dostęp do serwera NAS podczas podróży, proszę skorzystać z sieci VPN, aby uniknąć bezpośredniego wystawienia interfejsu serwera NAS na działanie Internetu.

Instalacja tej aktualizacji zajmuje zaledwie kilka minut – jest to czas dobrze wykorzystany, biorąc pod uwagę, że jedna z luk może zostać wykorzystana przez nieautoryzowanych atakujących.

Więcej informacji, w tym pełną listę usuniętych luk, można znaleźć w komunikacie bezpieczeństwa QNAP QSA-26-10 pod adresem https://www.qnap.com/en/security-advisory/qsa-26-10 , w którym znajdą Państwo więcej informacji, w tym pełną listę usuniętych luk w zabezpieczeniach.