QNAP แก้ไขช่อง zero-day ความรุนแรงระดับ Critical ที่ถูกนักวิจัยด้านความปลอดภัยใช้โจมตีอุปกรณ์ NAS TS-464 ในระหว่างการแข่งขัน Pwn2Own Ireland 2024
CVE-2024-50388 เป็นช่องโหว่ด้านความปลอดภัยที่เกิดจาก OS command injection ใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.x ซึ่งเป็นโซลูชันการกู้คืนระบบ และการสำรองข้อมูล ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งได้ตามที่ต้องการได้
ช่องโหว่ดังกล่าวถูกค้นพบโดย Ha The Long และ Ha Anh Hoang จาก Viettel Cyber Security ที่สามารถเรียกใช้คำสั่ง และได้รับสิทธิ์ของผู้ดูแลระบบในวันที่สามของงาน Pwn2Own Ireland 2024
ปัจจุบัน QNAP ได้แก้ไขช่องโหว่ดังกล่าวแล้วใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.1.673 และเวอร์ชันที่ใหม่กว่า
หากต้องการอัปเดต HBS 3 บนอุปกรณ์ NAS สามารถเข้าสู่ระบบ QTS หรือ QuTS hero ในฐานะผู้ดูแลระบบ เปิด App Center และค้นหา "HBS 3 Hybrid Backup Sync" หากมีการอัปเดต ให้คลิก "Update" หากไม่พบปุ่ม "Update" แสดงว่า HBS 3 Hybrid Backup Sync อาจได้รับการอัปเดตไปแล้ว
หลังจากการแข่งขัน Pwn2Own ผู้ให้บริการมักจะใช้เวลาในการออกอัปเดตแพตซ์ด้านความปลอดภัย เนื่องจากพวกเขามีเวลา 90 วันจนกว่า Zero Day Initiative ของ Trend Micro จะเผยแพร่รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ถูกใช้ในระหว่างการแข่งขัน Pwn2Own
ทั้งนี้ในการแข่งขันดังกล่าว ทีม Viettel เป็นผู้คว้าชัยชนะในการแข่งขัน Pwn2Own Ireland 2024 โดยมีรางวัลมูลค่ารวมกว่า 1 ล้านเหรียญสหรัฐฯ โดยมอบให้กับ Hacker ที่เปิดเผยช่องโหว่ Zero Day ที่ไม่ซ้ำกันมากกว่า 70 รายการ
ในปี 2021 QNAP ได้ลบ backdoor account ใน Hybrid Backup Sync solution (CVE-2021-28799) ซึ่งถูกใช้ในการโจมตีร่วมกับช่องโหว่ SQL Injection ใน Multimedia Console และ Media Streaming Add-On (CVE-2020-36195) เพื่อติดตั้ง Qlocker ransomware ในอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ตเพื่อเข้ารหัสไฟล์ข้อมูล
ในเดือนมิถุนายน 2020 QNAP ได้แจ้งเตือนการโจมตีด้วย eCh0raix ransomware ที่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของแอป Photo Station หลังจากนั้นหนึ่งปีต่อมา eCh0raix (หรือที่เรียกว่า QNAPCrypt) ได้กลับมาโจมตีอีกครั้งโดยใช้ประโยชน์จากช่องโหว่ที่พบ และบัญชีที่ใช้รหัสผ่านที่คาดเดาได้ง่าย
นอกจากนี้ QNAP ยังแจ้งเตือนลูกค้าในเดือนกันยายน 2020 เกี่ยวกับการโจมตีด้วย AgeLocker ransomware ที่กำหนดเป้าหมายไปที่อุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ต และใช้งาน Photo Station เวอร์ชันเก่า และมีช่องโหว่
อุปกรณ์ QNAP เป็นเป้าหมายยอดนิยมของกลุ่ม Hacker ที่ใช้ในการเรียกค่าไถ่ เนื่องจากอุปกรณ์เหล่านี้จัดเก็บไฟล์ส่วนบุคคลที่มีความสำคัญ ทำให้สามารถใช้เป็นเครื่องมือในการบังคับให้เหยื่อจ่ายค่าไถ่เพื่อถอดรหัสข้อมูลได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.