QNAP แก้ไขช่องโหว่ rsync จำนวน 6 รายการ ซึ่งอาจทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ Network Attached Storage (NAS) ที่มีช่องโหว่ได้
Rsync เป็นเครื่องมือ open-source file synchronization ที่รองรับการซิงค์ไฟล์โดยตรงผ่าน daemon, SSH transfers ผ่าน SSH และการถ่ายโอนแบบ incremental transfer ที่ช่วยประหยัดเวลา และ bandwidth
Rsync ถูกใช้กันอย่างแพร่หลายในโซลูชันสำรองข้อมูลต่าง ๆ มากมาย เช่น Rclone, DeltaCopy และ ChronoSync เช่นเดียวกับการดำเนินการจัดการระบบคลาวด์ และเซิร์ฟเวอร์ รวมถึงการแจกจ่ายไฟล์สาธารณะ
ช่องโหว่เหล่านี้มีหมายเลข CVE-2024-12084 (Heap buffer Overflow), CVE-2024-12085 (Information Leak Uninitialized Stack), CVE-2024-12086 (Server Leaks Arbitrary Client Files), CVE-2024-12087 (Path Traversal via --inc-recursive option), CVE-2024-12088 (Bypass of --Safe-Links Option) และ CVE-2024-12747 (Symbolic Link Race Condition)
QNAP ระบุว่าช่องโหว่ดังกล่าวส่งผลต่อ HBS 3 Hybrid Backup Sync 25.1.x ซึ่งเป็นโซลูชัน Data Backup and Disaster Recovery Solution ของบริษัท ซึ่งรองรับบริการจัดเก็บข้อมูลแบบภายใน local, remote และ cloud storage services
QNAP ได้แก้ไขช่องโหว่เหล่านี้ใน HBS 3 Hybrid Backup Sync 25.1.4.952 และแนะนำให้ลูกค้าอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุด
หากต้องการอัปเดตการติดตั้ง Hybrid Backup Sync บนอุปกรณ์ NAS สามารถทำได้ดังนี้ :
1. เข้าสู่ระบบ QTS หรือ QuTS Hero ด้วยสิทธิ์ผู้ดูแลระบบ
2. เปิด App Center และค้นหา HBS 3 Hybrid Backup Sync
3. รอให้ HBS 3 Hybrid Backup Sync ปรากฏในผลการค้นหา
4. คลิก Update แล้วกด OK ในข้อความการยืนยัน
ช่องโหว่ของ Rsync เหล่านี้อาจถูกใช้ร่วมกันเพื่อสร้าง exploitation chains ที่นำไปสู่การเข้าควบคุมระบบจากระยะไกล โดย Hacker ต้องการเพียงสิทธิ์ anonymous read access บน servers ที่มีช่องโหว่เท่านั้น
CERT/CC ออกมาแจ้งเตือนเมื่อหนึ่งสัปดาห์ที่แล้วหลังการเปิดตัว rsync 3.4.0 พร้อมการแก้ไขด้านความปลอดภัยว่า เมื่อนำช่องโหว่มาใช้ร่วมกัน (Heap Buffer Overflow และ Information Leak) จะทำให้ client สามารถเรียกใช้คำสั่งบนอุปกรณ์ที่มี Rsync server ทำงานอยู่
โดย client ต้องการเพียงสิทธิ์ anonymous read access บน server เช่น public mirrors นอกจากนี้ Hacker ยังสามารถควบคุม public mirrors ที่เป็นอันตราย และอ่าน/เขียน arbitrary files ของ client ใด ๆ ที่เชื่อมต่อก็ได้
จากการค้นหาบน Shodan แสดงให้เห็น IP addresses มากกว่า 700,000 รายการ ที่มี rsync servers เปิดใช้งานอยู่ ทั้งนี้ยังไม่ชัดเจนว่ามีกี่ IP addresses ที่มีช่องโหว่ให้โจมตีโดยใช้ช่องโหว่ด้านความปลอดภัยเหล่านี้ เนื่องจากการโจมตีที่ประสบความสำเร็จจะต้องใช้ข้อมูล credentials ที่ถูกต้อง หรือ server ที่กำหนดค่าสำหรับการเชื่อมต่อแบบ anonymous
ที่มา : bleepingcomputer
You must be logged in to post a comment.