QNAP ออกแพตช์แก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนำมาใช้ในการโจมตีในงาน Pwn2Own เพื่อยกระดับสิทธิ์เป็น root

QNAP ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนักวิจัยด้านความปลอดภัยนำไปใช้โจมตีในการแข่งขันแฮ็ก Pwn2Own เมื่อสัปดาห์ที่ผ่านมา

ช่องโหว่ระดับ Critical นี้เป็นช่องโหว่ SQL injection (SQLi) ที่มีหมายเลข CVE-2024-50387 เป็นช่องโหว่ใน SMB service ของ QNAP และได้รับการแก้ไขแล้วในเวอร์ชัน 4.15.002 ขึ้นไป และ h4.15.002 ขึ้นไป

ช่องโหว่ zero-day นี้ได้รับการแก้ไขไปแล้วหนึ่งสัปดาห์หลังจากที่ YingMuo (ซึ่งทำงานร่วมกับโครงการฝึกงาน DEVCORE) สามารถเข้าถึงสิทธิ์ root และควบคุมอุปกรณ์ QNAP TS-464 NAS ได้ในงาน Pwn2Own Ireland 2024

เมื่อวันอังคารที่ 29 ตุลาคม 2024 บริษัท QNAP ได้แก้ไขช่องโหว่ zero-day อีกรายการใน HBS 3 Hybrid Backup Sync ซึ่งเป็นโซลูชันสำหรับการกู้คืน และสำรองข้อมูล โดยช่องโหว่นี้ถูกทีม Viettel Cyber Security นำไปใช้โจมตีในงาน Pwn2Own เพื่อเรียกใช้คำสั่งตามที่ต้องการ และโจมตีอุปกรณ์ QNAP TS-464 NAS

ทีม Viettel ชนะการแข่งขัน Pwn2Own Ireland 2024 หลังจากการแข่ง 4 วัน โดยมีการมอบรางวัลมูลค่ารวมกว่า 1 ล้านดอลลาร์ให้กับแฮ็กเกอร์ที่สามารถโจมตีด้วยช่องโหว่ zero-day ได้มากกว่า 70 รายการ

แม้ว่า QNAP จะออกแพตช์สำหรับช่องโหว่ทั้ง 2 รายการภายในหนึ่งสัปดาห์ แต่โดยทั่วไปแล้วผู้ให้บริการมักใช้เวลานานกว่านั้นในการปล่อยแพตช์ความปลอดภัยหลังงาน Pwn2Own เนื่องจากมีเวลา 90 วันก่อนที่ Zero Day Initiative ของ Trend Micro จะเปิดเผยรายละเอียดของช่องโหว่ที่ถูกเปิดเผยในการแข่งขัน

หากต้องการอัปเดตซอฟต์แวร์บนอุปกรณ์ NAS ให้เข้าสู่ระบบ QuTS hero หรือ QTS ในฐานะผู้ดูแลระบบ และไปที่ App Center ค้นหา "SMB Service" แล้วคลิก "Update" โดยปุ่มนี้จะไม่สามารถใช้งานได้หากซอฟต์แวร์เป็นเวอร์ชันล่าสุดแล้ว

แนะนำให้อัปเดตแพตช์โดยเร็วที่สุด เนื่องจากอุปกรณ์ QNAP เป็นเป้าหมายที่นิยมของผู้โจมตี เพราะมักถูกใช้ในการสำรอง และเก็บข้อมูลส่วนบุคคลที่สำคัญ ซึ่งทำให้อุปกรณ์เหล่านี้ตกเป็นเป้าหมายในการติดตั้งมัลแวร์ขโมยข้อมูล และยังเป็นช่องทางในการบังคับให้เหยื่อจ่ายค่าไถ่เพื่อกู้คืนข้อมูล

ตัวอย่างเช่น ในเดือนมิถุนายน 2020 QNAP ได้แจ้งเตือนเกี่ยวกับการโจมตีของแรนซัมแวร์ eCh0raix ซึ่งใช้ช่องโหว่ของแอป Photo Station ในการโจมตี และเข้ารหัสอุปกรณ์ QNAP NAS

ในเดือนกันยายน 2020 QNAP ได้แจ้งเตือนลูกค้าเกี่ยวกับการโจมตีของแรนซัมแวร์ AgeLocker ซึ่งมุ่งเป้าไปที่อุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ต ที่มีการใช้งาน Photo Station เวอร์ชันเก่า และมีช่องโหว่ โดยในเดือนมิถุนายน 2021 eCh0raix (หรือ QNAPCrypt) ได้กลับมาโจมตีอีกครั้งโดยใช้ช่องโหว่ที่รู้จัก และใช้การเดารหัสผ่านของบัญชี NAS ที่ใช้รหัสผ่านที่คาดเดาได้ง่าย

การโจมตีอื่น ๆ ที่มีเป้าหมายการโจมตีไปยังอุปกรณ์ QNAP เช่น DeadBolt, Checkmate และ eCh0raix ransomware ซึ่งจะใช้ประโยชน์จากช่องโหว่เพื่อเข้ารหัสข้อมูลในอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ต

ที่มา : bleepingcomputer