Компания QNAP устранила 14 уязвимостей в системах безопасности NAS и рекомендует обновить QTS и QuTS

Компания QNAP выпустила важное обновление безопасности для своих сетевых хранилищ (NAS). В уведомлении о безопасности QSA-26-10, датированном 17 июня, рассматриваются 14 уязвимостей в операционных системах QTS, QuTS hero и QuTS cloud, а также в системе видеонаблюдения QVP. Всем пользователям устройств NAS от QNAP рекомендуется как можно скорее обновить их, чтобы защитить конфиденциальные персональные данные.

Какие уязвимости устранила компания QNAP?

Среди 14 выявленных уязвимостей есть несколько критических, в том числе уязвимость, связанная с внедрением URL-адресов (CVE-2025-59382), которая позволяет злоумышленникам удалённо манипулировать ссылками для сброса пароля и перенаправлять жертв на поддельные веб-сайты с целью кражи учетных данных. Кроме того, несколько уязвимостей, связанных с внедрением команд, позволяют авторизованным администраторам выполнять произвольные системные команды. Особую опасность представляет уязвимость памяти (CVE-2026-26241), которая, по данным QNAP, может быть использована неавторизованными злоумышленниками посредством манипулирования загрузками файлов с чрезмерно длинными именами.

Уязвимы следующие версии:

Устройства NAS являются популярной мишенью для кибератак, поскольку многие из них работают в непрерывном режиме и доступны через Интернет. К уязвимым версиям относятся QTS 5.2.7, QuTS hero h5.2.8, QuTS cloud c5.2.8 и QVP 2.7.1. Компания QNAP уже устранила эти уязвимости в более новых версиях, включая QTS 5.2.9.3499 и QuTS hero h5.2.9.

Как обновить NAS QNAP

Вы можете установить обновление непосредственно на устройстве. Для этого войдите в веб-интерфейс, откройте «Панель управления», перейдите в раздел «Система и обновление прошивки» и проверьте наличие новых версий программного обеспечения. Кроме того, соответствующую прошивку можно загрузить из Центра загрузок QNAP и установить вручную. По завершении обновления ваше устройство NAS перезагрузится.

Как обеспечить дополнительную защиту вашего NAS

Система NAS ни в коем случае не должна подключаться к Интернету без надлежащей защиты. Отключите все ненужные функции удалённого доступа и избегайте предоставления прямого онлайн-доступа к учётной записи администратора. Используйте надёжные уникальные пароли и включите двухфакторную аутентификацию. Если вам необходимо получить доступ к NAS, находясь в пути, используйте VPN, чтобы не подвергать интерфейс NAS прямому воздействию из Интернета.

Установка данного обновления занимает всего несколько минут — это время потрачено не зря, учитывая, что одна из уязвимостей может быть использована злоумышленниками без авторизации.

Ознакомьтесь с рекомендациями по безопасности QNAP QSA-26-10 на сайте https://www.qnap.com/en/security-advisory/qsa-26-10 , где вы найдёте дополнительную информацию, включая полный список устраненных уязвимостей.