QNAP bestempelt meerdere kritieke kwetsbaarheden als belangrijk
QNAP heeft meerdere kwetsbaarheden die onder de CVSS-beoordeling als kritiek zijn aangemerkt zelf als 'belangrijk' bestempeld. De NAS- en routerfabrikant kwam dit weekend met beveiligingsupdates voor onder andere de NAS-applicatie Notes Station 3 en QuRouter, het besturingssysteem dat op de NAS-apparaten van QNAP draait. Via de kwetsbaarheden zouden in het ergste geval remote aanvallers toegang tot de apparaten kunnen krijgen.
De beveiligingsbulletins voor Notes Station 3 en QuRouter zijn door QNAP aangemerkt als 'important'. Twee kwetsbaarheden in Notes Station 3 (CVE-2024-38643 en CVE-2024-38645) alsmede een beveiligingslek in QuRouter (CVE-2024-48860) zijn volgens de CVSS-beoordeling kritiek. Het Common Vulnerability Scoring System (CVSS) is bedacht voor het beoordelen van de impact van kwetsbaarheden. Een CVSS-score bestaat uit een schaal van 1 tot en met 10, waarbij 10 de maximale score is.
De score is uit verschillende onderdelen opgebouwd. Zo wordt gekeken wat de aanvalsvector is (lokaal, fysiek of netwerk), hoe lastig het is om misbruik van de kwetsbaarheid te maken, of er interactie van de gebruiker is vereist en of de aanvaller over bepaalde permissies moet beschikken om de aanval uit te voeren. Verder wordt er ook gekeken wat de gevolgen van de kwetsbaarheid zijn voor de beschikbaarheid, vertrouwelijkheid en integriteit van informatie of het systeem.
Dit leidt tot een "basisscore" die kan worden aangevuld met een tijdelijke score, bijvoorbeeld de beschikbaarheid van exploitcode, en een omgevingsscore, die specifiek voor de organisatie van een gebruiker is. Organisaties kunnen zo zien welke kwetsbaarheden de grootste prioriteit moeten krijgen. Beveiligingslekken met een basisscore van 10 komen geregeld in het nieuws.
CVE-2024-48860 betreft command injection, waardoor een remote aanvaller commando's op de router kan uitvoeren. CVE-2024-38643 wordt omschreven als 'ontbrekende authenticatie', waardoor remote aanvallers toegang tot belangrijke functies kunnen krijgen en uitvoeren. CVE-2024-38645 is een server-side request forgery (SSRF) kwetsbaarheid waardoor een geauthenticeerde aanvaller applicatiedata kan lezen. Door niet aan te geven dat het om kritieke kwetsbaarheden gaat kan het zijn dat gebruikers de updates later installeren dan ze zouden doen bij kritieke beveiligingslekken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.