การอัปเดตเฟิร์มแวร์ของ QNAP ทำให้ผู้ดูแลระบบ NAS ไม่สามารถเข้าถึงอุปกรณ์ได้

การอัปเดตเฟิร์มแวร์ล่าสุดที่ถูกส่งไปยังอุปกรณ์ QNAP Network Attached Storage (NAS) ทำให้ผู้ดูแลระบบหลายรายไม่สามารถเข้าถึงระบบจัดเก็บข้อมูลของตนได้ บริษัทได้ถอนการอัปเดตเฟิร์มแวร์ และปล่อยเวอร์ชันที่ได้รับการแก้ไขแล้ว แต่การตอบสนองของบริษัททำให้บางผู้ (more…)

QNAP แก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ NAS และเราเตอร์

QNAP เผยแพร่ประกาศด้านความปลอดภัยในช่วงสุดสัปดาห์ที่ผ่านมา ซึ่งระบุถึงช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีความรุนแรงระดับ Critical 3 รายการที่ผู้ใช้งานควรอัปเดตแพทช์โดยเร็วที่สุด

เริ่มต้นด้วย QNAP Notes Station 3 ซึ่งเป็นแอปพลิเคชันสำหรับจดบันทึก และใช้ทำงานร่วมกันในระบบ NAS ของบริษัท โดยมีช่องโหว่ 2 รายการที่ส่งผลกระทบต่อแอปพลิเคชันนี้

CVE-2024-38643 (คะแนน CVSS v4: 9.3 ความรุนแรงระดับ Critical) เป็นช่องโหว่การขาดการตรวจสอบการยืนยันตัวตนในฟังก์ชันที่สำคัญ ซึ่งอาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงระบบได้โดยไม่ได้รับอนุญาต และสามารถเข้าควบคุมระบบบางอย่างได้ การที่ไม่มีระบบการตรวจสอบการยืนยันตัวตนที่เหมาะสมทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยไม่ต้องมีข้อมูล credential
CVE-2024-38645 (คะแนน CVSS v4: 9.4 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Server-side request forgery (SSRF) ที่อาจทำให้ผู้โจมตีจากภายนอกที่มีข้อมูล credentials สำหรับการยืนยันตัวตน สามารถส่ง requests ที่สร้างขึ้นมาเป็นพิเศษเพื่อควบคุมพฤติกรรมของฝั่งเซิร์ฟเวอร์ ซึ่งอาจทำให้ข้อมูลที่สำคัญของแอปพลิเคชันถูกเปิดเผยได้

QNAP ได้แก้ไขช่องโหว่ดังกล่าวใน Notes Station 3 เวอร์ชัน 3.9.7 แล้ว และแนะนำให้ผู้ใช้ทำการอัปเดตเป็นเวอร์ชันดังกล่าว หรือใหม่กว่าเพื่อลดความเสี่ยง

ช่องโหว่อีก 2 รายการที่ระบุในประกาศฉบับเดียวกัน คือ CVE-2024-38644 และ CVE-2024-38646 เป็นช่องโหว่ที่มีความรุนแรงระดับ High (คะแนน CVSS v4: 8.7 และ 8.4) โดยช่องโหว่เหล่านี้เกี่ยวข้องกับการโจมตีแบบ Command Injection และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งต้องอาศัยการเข้าถึงในระดับผู้ใช้งานจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้

ช่องโหว่ใน QuRouter

ช่องโหว่ที่ 3 ระดับ Critical ที่ QNAP แก้ไขคือ CVE-2024-48860 ส่งผลกระทบต่อผลิตภัณฑ์ QuRouter 2.4.x ซึ่งเป็นกลุ่มเราเตอร์ความเร็วสูง และมีความปลอดภัยของ QNAP

ช่องโหว่นี้จัดอยู่ในระดับ "Critical" (คะแนน CVSS v4: 9.5) โดยเป็นช่องโหว่ OS Command Injection ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถรันคำสั่งบนระบบได้

นอกจากนี้ QNAP ยังได้แก้ไขช่องโหว่ command injection ที่มีระดับความรุนแรงต่ำ ซึ่งมีหมายเลข CVE-2024-48861 โดยทั้งสองช่องโหว่ได้รับการแก้ไขแล้วใน QuRouter เวอร์ชัน 2.4.3.106

การแก้ไขอื่น ๆ ของ QNAP

ผลิตภัณฑ์อื่น ๆ ที่ได้รับการแก้ไขช่องโหว่ในช่วงสุดสัปดาห์นี้ ได้แก่ QNAP AI Core (เอนจิน AI), QuLog Center (เครื่องมือจัดการ log), QTS (ระบบปฏิบัติการมาตรฐานสำหรับอุปกรณ์ NAS) และ QuTS Hero (เวอร์ชันขั้นสูงของ QTS)

ช่องโหว่สำคัญที่ได้รับการแก้ไขในผลิตภัณฑ์เหล่านี้ ซึ่งมีคะแนน CVSS v4 อยู่ที่ระหว่าง 7.7 ถึง 8.7 (ความรุนแรงระดับ High)

CVE-2024-38647: เป็นช่องโหว่การเปิดเผยข้อมูล (Information Exposure) ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงข้อมูลที่สำคัญ และทำให้ความปลอดภัยของระบบถูกโจมตี โดยช่องโหว่นี้ส่งผลกระทบต่อ QNAP AI Core เวอร์ชัน 3.4.x และได้รับการแก้ไขแล้วในเวอร์ชัน 3.4.1 และเวอร์ชันที่ใหม่กว่า
CVE-2024-48862: เป็นช่องโหว่ Link-Following flaw ที่อาจทำให้ผู้โจมตีจากภายนอก สามารถเข้าถึง หรือแก้ไขไฟล์ได้ ช่องโหว่นี้ส่งผลกระทบต่อ QuLog Center เวอร์ชัน 1.7.x และ 1.8.x โดยได้รับการแก้ไขในเวอร์ชัน 1.7.0.831 และ 1.8.0.888
CVE-2024-50396 และ CVE-2024-50397: เป็นช่องโหว่เกี่ยวกับ การจัดการรูปแบบสตริงที่มีการควบคุมจากภายนอก (Improper Handling of Externally Controlled Format Strings) ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ หรือแก้ไขหน่วยความจำของระบบได้ ซึ่งช่องโหว่หมายเลข CVE-2024-50396 สามารถถูกใช้โจมตีจากระยะไกลเพื่อควบคุมหน่วยความจำของระบบได้ ในขณะที่ช่องโหว่ CVE-2024-50397 จำเป็นต้องมีการเข้าถึงในระดับผู้ใช้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ โดยช่องโหว่ทั้งสองรายการได้รับการแก้ไขแล้วใน QTS เวอร์ชัน 5.2.1.2930 และ QuTS Hero เวอร์ชัน h5.2.1.2929

QNAP แนะนำให้ลูกค้าทำการติดตั้งแพตซ์อัปเดตโดยเร็วที่สุดเพื่อป้องกันการถูกโจมตีที่อาจเกิดขึ้น

ตามปกติแล้ว อุปกรณ์ QNAP ไม่ควรเชื่อมต่อกับอินเทอร์เน็ตโดยตรง แต่ควรใช้งานผ่าน VPN แทน เพื่อป้องกันการถูกโจมตีจากระยะไกลผ่านช่องโหว่ต่าง ๆ

ที่มา : bleepingcomputer

D-Link ปฎิเสธการแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลต่ออุปกรณ์ NAS ที่ End-of-Life กว่า 60,000 เครื่อง

D-Link รายงานการพบอุปกรณ์ D-Link Network-Attached Storage (NAS) ที่หมดอายุการใช้งานแล้ว (End-of-Life) มากกว่า 60,000 รายการ มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะแล้ว (more…)

Synology ออกอัปเดตแก้ไขช่องโหว่ Zero-Days ที่ถูกใช้โจมตีในงาน Pwn2Own

Synology ผู้ผลิตอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย (NAS) ของไต้หวัน ได้แก้ไขช่องโหว่ระดับ Critical 2 รายการที่ถูกโจมตีในการแข่งขัน Pwn2Own hacking competition (more…)

QNAP ออกแพตช์แก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนำมาใช้ในการโจมตีในงาน Pwn2Own เพื่อยกระดับสิทธิ์เป็น root

QNAP ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนักวิจัยด้านความปลอดภัยนำไปใช้โจมตีในการแข่งขันแฮ็ก Pwn2Own เมื่อสัปดาห์ที่ผ่านมา

ช่องโหว่ระดับ Critical นี้เป็นช่องโหว่ SQL injection (SQLi) ที่มีหมายเลข CVE-2024-50387 เป็นช่องโหว่ใน SMB service ของ QNAP และได้รับการแก้ไขแล้วในเวอร์ชัน 4.15.002 ขึ้นไป และ h4.15.002 ขึ้นไป

ช่องโหว่ zero-day นี้ได้รับการแก้ไขไปแล้วหนึ่งสัปดาห์หลังจากที่ YingMuo (ซึ่งทำงานร่วมกับโครงการฝึกงาน DEVCORE) สามารถเข้าถึงสิทธิ์ root และควบคุมอุปกรณ์ QNAP TS-464 NAS ได้ในงาน Pwn2Own Ireland 2024 (more…)

QNAP แก้ไขช่องโหว่ Zero-Day บน NAS Backup Software ที่ถูกใช้โจมตีใน Pwn2Own

QNAP แก้ไขช่อง zero-day ความรุนแรงระดับ Critical ที่ถูกนักวิจัยด้านความปลอดภัยใช้โจมตีอุปกรณ์ NAS TS-464 ในระหว่างการแข่งขัน Pwn2Own Ireland 2024

CVE-2024-50388 เป็นช่องโหว่ด้านความปลอดภัยที่เกิดจาก OS command injection ใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.x ซึ่งเป็นโซลูชันการกู้คืนระบบ และการสำรองข้อมูล ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งได้ตามที่ต้องการได้

ช่องโหว่ดังกล่าวถูกค้นพบโดย Ha The Long และ Ha Anh Hoang จาก Viettel Cyber ​​Security ที่สามารถเรียกใช้คำสั่ง และได้รับสิทธิ์ของผู้ดูแลระบบในวันที่สามของงาน Pwn2Own Ireland 2024

ปัจจุบัน QNAP ได้แก้ไขช่องโหว่ดังกล่าวแล้วใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.1.673 และเวอร์ชันที่ใหม่กว่า

หากต้องการอัปเดต HBS 3 บนอุปกรณ์ NAS สามารถเข้าสู่ระบบ QTS หรือ QuTS hero ในฐานะผู้ดูแลระบบ เปิด App Center และค้นหา "HBS 3 Hybrid Backup Sync" หากมีการอัปเดต ให้คลิก "Update" หากไม่พบปุ่ม "Update" แสดงว่า HBS 3 Hybrid Backup Sync อาจได้รับการอัปเดตไปแล้ว

หลังจากการแข่งขัน Pwn2Own ผู้ให้บริการมักจะใช้เวลาในการออกอัปเดตแพตซ์ด้านความปลอดภัย เนื่องจากพวกเขามีเวลา 90 วันจนกว่า Zero Day Initiative ของ Trend Micro จะเผยแพร่รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ถูกใช้ในระหว่างการแข่งขัน Pwn2Own

ทั้งนี้ในการแข่งขันดังกล่าว ทีม Viettel เป็นผู้คว้าชัยชนะในการแข่งขัน Pwn2Own Ireland 2024 โดยมีรางวัลมูลค่ารวมกว่า 1 ล้านเหรียญสหรัฐฯ โดยมอบให้กับ Hacker ที่เปิดเผยช่องโหว่ Zero Day ที่ไม่ซ้ำกันมากกว่า 70 รายการ

ในปี 2021 QNAP ได้ลบ backdoor account ใน Hybrid Backup Sync solution (CVE-2021-28799) ซึ่งถูกใช้ในการโจมตีร่วมกับช่องโหว่ SQL Injection ใน Multimedia Console และ Media Streaming Add-On (CVE-2020-36195) เพื่อติดตั้ง Qlocker ransomware ในอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ตเพื่อเข้ารหัสไฟล์ข้อมูล

ในเดือนมิถุนายน 2020 QNAP ได้แจ้งเตือนการโจมตีด้วย eCh0raix ransomware ที่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของแอป Photo Station หลังจากนั้นหนึ่งปีต่อมา eCh0raix (หรือที่เรียกว่า QNAPCrypt) ได้กลับมาโจมตีอีกครั้งโดยใช้ประโยชน์จากช่องโหว่ที่พบ และบัญชีที่ใช้รหัสผ่านที่คาดเดาได้ง่าย

นอกจากนี้ QNAP ยังแจ้งเตือนลูกค้าในเดือนกันยายน 2020 เกี่ยวกับการโจมตีด้วย AgeLocker ransomware ที่กำหนดเป้าหมายไปที่อุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ต และใช้งาน Photo Station เวอร์ชันเก่า และมีช่องโหว่

อุปกรณ์ QNAP เป็นเป้าหมายยอดนิยมของกลุ่ม Hacker ที่ใช้ในการเรียกค่าไถ่ เนื่องจากอุปกรณ์เหล่านี้จัดเก็บไฟล์ส่วนบุคคลที่มีความสำคัญ ทำให้สามารถใช้เป็นเครื่องมือในการบังคับให้เหยื่อจ่ายค่าไถ่เพื่อถอดรหัสข้อมูลได้

ที่มา : bleepingcomputer 

CERT India รายงานช่องโหว่ในผลิตภัณฑ์ QNAP หลายรายการ

เมื่อไม่นานมานี้ CERT-In (Indian Computer Emergency Response Team) ได้ออกคำแนะนำเกี่ยวกับช่องโหว่หลายรายการในผลิตภัณฑ์ QNAP ต่าง ๆ

QNAP เป็นที่รู้จักในด้านระบบ Network-Attached Storage (NAS) ที่ใช้กันอย่างแพร่หลายในองกรค์ต่าง ๆ ช่องโหว่เหล่านี้ส่งผลกระทบหลักต่อระบบปฏิบัติการ QTS และ QuTS Hero ซึ่งเป็นส่วนสำคัญของ QNAP

(more…)

QNAP เพิ่มการป้องกัน ransomware บน NAS ให้กับ QTS เวอร์ชันล่าสุด

QNAP เพิ่มการป้องกัน ransomware บน NAS ให้กับ QTS เวอร์ชันล่าสุด

QNAP ผู้จำหน่ายฮาร์ดแวร์ของไต้หวัน ได้เพิ่ม Security Center ที่มีความสามารถในการป้องกัน ransomware ลงในระบบปฏิบัติการ QTS เวอร์ชันล่าสุดสำหรับอุปกรณ์ network-attached storage (NAS)

(more…)

Zyxel ออกแพตซ์แก้ไขช่องโหว่ RCE สำหรับอุปกรณ์ NAS ที่ End-of-life

Zyxel Network ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ระดับ Critical 3 รายการที่ส่งผลกระทบต่ออุปกรณ์ NAS รุ่นเก่าที่หมดอายุการใช้งานแล้ว (End-of-life)

โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ NAS326 ที่ใช้ firmware versions 5.21(AAZF.16)C0 และเก่ากว่า รวมถึง NAS542 ที่ใช้ firmware versions 5.21(ABAG.13)C0 และเก่ากว่า

โดยช่องโหว่ระดับ Critical 3 รายการ ซึ่งทำให้ Hacker สามารถแทรกคำสั่ง และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ อย่างไรก็ตามช่องโหว่อีก 2 รายการ ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ และการเปิดเผยข้อมูลไม่ได้รับการแก้ไขในผลิตภัณฑ์หมดอายุการใช้งานแล้ว (End-of-life) ในครั้งนี้

โดย Timothy Hjort นักวิจัยด้านความปลอดภัยของ Outpost24 เป็นผู้ค้นพบ และรายงานช่องโหว่ทั้ง 5 รายการแก่ Zyxel และต่อมาก็ได้เปิดเผยชุดสาธิตการโจมตี (PoC) ออกสู่สาธารณะ

โดยช่องโหว่ 5 รายการที่ถูกแจ้งไปยัง Zyxel ซึ่งมี 3 รายการที่ได้รับการแก้ไขดังนี้ :

CVE-2024-29972 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) ช่องโหว่ Command injection ในโปรแกรม CGI ('remote_help-cgi') ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถส่ง HTTP POST request ที่สร้างขึ้นเป็นพิเศษเพื่อรันคำสั่งบน OS โดยใช้บัญชี NsaRescueAngel backdoor ที่มีสิทธิ์รูทได้
CVE-2024-29973 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) ช่องโหว่ Command injection ใน 'setCookie' parameter ทำให้ Hacker สามารถส่ง HTTP POST request ที่สร้างขึ้นเป็นพิเศษเพื่อรันคำสั่งบน OS ได้
CVE-2024-29974 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ในโปรแกรม CGI ('file_upload-cgi') ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถอัปโหลดไฟล์ configuration ที่เป็นอันตรายบนอุปกรณ์ได้
CVE-2024-29975 (คะแนน CVSS 6.7/10 ความรุนแรงระดับ Medium) ช่องโหว่การจัดการสิทธิ์ที่ไม่เหมาะสมใน SUID executable binary ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถรันคำสั่งบนระบบในฐานะ "root" (ไม่ได้รับการแก้ไขช่องโหว่ในครั้งนี้)
CVE-2024-29976 (คะแนน CVSS 6.5/10 ความรุนแรงระดับ Medium) ช่องโหว่การจัดการสิทธิ์ที่ไม่เหมาะสมในคำสั่ง 'show_allsessions' ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถรับข้อมูลเซสชัน รวมถึงคุกกี้ของผู้ดูแลระบบที่ใช้งานอยู่ (ไม่ได้รับการแก้ไขช่องโหว่ในครั้งนี้)

แม้ว่า NAS ทั้งสองรุ่นจะสิ้นสุดระยะเวลาการสนับสนุนไปแล้วตั้งแต่วันที่ 31 ธันวาคม 2566 แต่ Zyxel ก็ได้ออกแพตซ์แก้ไขช่องโหว่สำหรับช่องโหว่ระดับ Critical 3 รายการในเวอร์ชัน 5.21(AAZF.17)C0 สำหรับ NAS326 และ 5.21(ABAG.14)C0 สำหรับ NAS542 และเนื่องจากช่องโหว่ดังกล่าวได้มีการปล่อย PoC ออกมาแล้ว แม้จะยังไม่มีข้อมูลการโจมตีจากช่องโหว่ดังกล่าว แต่ผู้ดูแลระบบก็ควรทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยเร็วที่สุด

ที่มา : bleepingcomputer.

NCSC-FI แจ้งเตือนพบกลุ่ม Akira ransomware มุ่งเป้าลบข้อมูลบนอุปกรณ์ NAS และ Tape Backup

Finish National Cybersecurity Center (NCSC-FI) หรือหน่วยงานความปลอดภัยทางไซเบอร์ของฟินแลนด์ แจ้งเตือนการพบการโจมตีที่เพิ่มขึ้นของกลุ่ม Akira ransomware ที่เพิ่มขึ้นในเดือนธันวาคม 2023 โดยกำหนดเป้าหมายการโจมตีไปยังบริษัทในประเทศเพื่อลบข้อมูลบนอุปกรณ์ NAS และ Tape Backup

ทั้งนี้ NCSC-FI ระบุว่ากลุ่ม Akira ransomware อยู่เบื้องหลังการโจมตีของ ransomware มากถึง 6 ใน 7 เหตุการณ์ที่พบในเดือนธันวาคม 2023 โดยการลบข้อมูลเป็นการเพิ่มความรุนแรงของความเสียหายของการโจมตี และทำให้ Hacker สามารถสร้างความกดดันให้แก่เป้าหมาย เนื่องจากไม่สามารถทำการกู้คืนข้อมูลที่ถูกโจมตีได้ (more…)