QNAP เผยแพร่ประกาศด้านความปลอดภัยในช่วงสุดสัปดาห์ที่ผ่านมา ซึ่งระบุถึงช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีความรุนแรงระดับ Critical 3 รายการที่ผู้ใช้งานควรอัปเดตแพทช์โดยเร็วที่สุด
เริ่มต้นด้วย QNAP Notes Station 3 ซึ่งเป็นแอปพลิเคชันสำหรับจดบันทึก และใช้ทำงานร่วมกันในระบบ NAS ของบริษัท โดยมีช่องโหว่ 2 รายการที่ส่งผลกระทบต่อแอปพลิเคชันนี้
- CVE-2024-38643 (คะแนน CVSS v4: 9.3 ความรุนแรงระดับ Critical) เป็นช่องโหว่การขาดการตรวจสอบการยืนยันตัวตนในฟังก์ชันที่สำคัญ ซึ่งอาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงระบบได้โดยไม่ได้รับอนุญาต และสามารถเข้าควบคุมระบบบางอย่างได้ การที่ไม่มีระบบการตรวจสอบการยืนยันตัวตนที่เหมาะสมทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยไม่ต้องมีข้อมูล credential
- CVE-2024-38645 (คะแนน CVSS v4: 9.4 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Server-side request forgery (SSRF) ที่อาจทำให้ผู้โจมตีจากภายนอกที่มีข้อมูล credentials สำหรับการยืนยันตัวตน สามารถส่ง requests ที่สร้างขึ้นมาเป็นพิเศษเพื่อควบคุมพฤติกรรมของฝั่งเซิร์ฟเวอร์ ซึ่งอาจทำให้ข้อมูลที่สำคัญของแอปพลิเคชันถูกเปิดเผยได้
QNAP ได้แก้ไขช่องโหว่ดังกล่าวใน Notes Station 3 เวอร์ชัน 3.9.7 แล้ว และแนะนำให้ผู้ใช้ทำการอัปเดตเป็นเวอร์ชันดังกล่าว หรือใหม่กว่าเพื่อลดความเสี่ยง
ช่องโหว่อีก 2 รายการที่ระบุในประกาศฉบับเดียวกัน คือ CVE-2024-38644 และ CVE-2024-38646 เป็นช่องโหว่ที่มีความรุนแรงระดับ High (คะแนน CVSS v4: 8.7 และ 8.4) โดยช่องโหว่เหล่านี้เกี่ยวข้องกับการโจมตีแบบ Command Injection และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งต้องอาศัยการเข้าถึงในระดับผู้ใช้งานจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้
ช่องโหว่ใน QuRouter
ช่องโหว่ที่ 3 ระดับ Critical ที่ QNAP แก้ไขคือ CVE-2024-48860 ส่งผลกระทบต่อผลิตภัณฑ์ QuRouter 2.4.x ซึ่งเป็นกลุ่มเราเตอร์ความเร็วสูง และมีความปลอดภัยของ QNAP
ช่องโหว่นี้จัดอยู่ในระดับ "Critical" (คะแนน CVSS v4: 9.5) โดยเป็นช่องโหว่ OS Command Injection ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถรันคำสั่งบนระบบได้
นอกจากนี้ QNAP ยังได้แก้ไขช่องโหว่ command injection ที่มีระดับความรุนแรงต่ำ ซึ่งมีหมายเลข CVE-2024-48861 โดยทั้งสองช่องโหว่ได้รับการแก้ไขแล้วใน QuRouter เวอร์ชัน 2.4.3.106
การแก้ไขอื่น ๆ ของ QNAP
ผลิตภัณฑ์อื่น ๆ ที่ได้รับการแก้ไขช่องโหว่ในช่วงสุดสัปดาห์นี้ ได้แก่ QNAP AI Core (เอนจิน AI), QuLog Center (เครื่องมือจัดการ log), QTS (ระบบปฏิบัติการมาตรฐานสำหรับอุปกรณ์ NAS) และ QuTS Hero (เวอร์ชันขั้นสูงของ QTS)
ช่องโหว่สำคัญที่ได้รับการแก้ไขในผลิตภัณฑ์เหล่านี้ ซึ่งมีคะแนน CVSS v4 อยู่ที่ระหว่าง 7.7 ถึง 8.7 (ความรุนแรงระดับ High)
- CVE-2024-38647: เป็นช่องโหว่การเปิดเผยข้อมูล (Information Exposure) ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงข้อมูลที่สำคัญ และทำให้ความปลอดภัยของระบบถูกโจมตี โดยช่องโหว่นี้ส่งผลกระทบต่อ QNAP AI Core เวอร์ชัน 3.4.x และได้รับการแก้ไขแล้วในเวอร์ชัน 3.4.1 และเวอร์ชันที่ใหม่กว่า
- CVE-2024-48862: เป็นช่องโหว่ Link-Following flaw ที่อาจทำให้ผู้โจมตีจากภายนอก สามารถเข้าถึง หรือแก้ไขไฟล์ได้ ช่องโหว่นี้ส่งผลกระทบต่อ QuLog Center เวอร์ชัน 1.7.x และ 1.8.x โดยได้รับการแก้ไขในเวอร์ชัน 1.7.0.831 และ 1.8.0.888
- CVE-2024-50396 และ CVE-2024-50397: เป็นช่องโหว่เกี่ยวกับ การจัดการรูปแบบสตริงที่มีการควบคุมจากภายนอก (Improper Handling of Externally Controlled Format Strings) ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ หรือแก้ไขหน่วยความจำของระบบได้ ซึ่งช่องโหว่หมายเลข CVE-2024-50396 สามารถถูกใช้โจมตีจากระยะไกลเพื่อควบคุมหน่วยความจำของระบบได้ ในขณะที่ช่องโหว่ CVE-2024-50397 จำเป็นต้องมีการเข้าถึงในระดับผู้ใช้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ โดยช่องโหว่ทั้งสองรายการได้รับการแก้ไขแล้วใน QTS เวอร์ชัน 5.2.1.2930 และ QuTS Hero เวอร์ชัน h5.2.1.2929
QNAP แนะนำให้ลูกค้าทำการติดตั้งแพตซ์อัปเดตโดยเร็วที่สุดเพื่อป้องกันการถูกโจมตีที่อาจเกิดขึ้น
ตามปกติแล้ว อุปกรณ์ QNAP ไม่ควรเชื่อมต่อกับอินเทอร์เน็ตโดยตรง แต่ควรใช้งานผ่าน VPN แทน เพื่อป้องกันการถูกโจมตีจากระยะไกลผ่านช่องโหว่ต่าง ๆ
ที่มา : bleepingcomputer
You must be logged in to post a comment.