QNAP ผู้ผลิตอุปกรณ์ Network Attached Storage (NAS) ของไต้หวัน แจ้งเตือนช่องโหว่ 3 รายการในผลิตภัณฑ์ NAS software ซึ่งรวมถึง QTS, QuTS hero, QuTScloud และ myQNAPcloud ที่อาจทำให้ Hacker สามารถเข้าถึงอุปกรณ์ได้ ผ่านการ authentication bypass, command injection และ SQL injection (more…)

QNAP ผู้จำหน่ายฮาร์ดแวร์ด้านการสำรองข้อมูลของไต้หวัน ได้แจ้งเตือนไปยังผู้ใช้งานให้รีบทำการอัปเดตแพตซ์ด้านความปลอดภัยในอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย Network-Attached Storage ที่ใช้งานบนระบบ Linux เพื่อป้องกันช่องโหว่การยกระดับสิทธิ์ Sudo ที่มีระดับความรุนแรงสูง

CVE-2023-22809 (คะแนน CVSS 7.8/10 ระดับความรุนแรงสูง) เป็นช่องโหว่การ bypass sudoers policy ใน Sudo เวอร์ชัน 1.9.12p1 เมื่อใช้ sudoedit ทำให้สามารถเพิ่มระดับสิทธิ์โดยการแก้ไขไฟล์ที่ไม่ได้รับอนุญาต โดยการเพิ่ม arbitrary entries ลงในรายการไฟล์ที่ต้องดำเนินการ ซึ่งส่งผลกระทบต่ออุปกรณ์ที่ใช้ Sudo เวอร์ชัน 1.8.0 ถึง 1.9.12p1 รวมไปถึงระบบปฏิบัติการ NAS ของ QTS, QuTS Hero, QuTScloud และ QVP (QVR Pro)

การป้องกัน

ทำการอัปเดตเพื่อแก้ไขช่องโหว่โดยทันทีจาก QNAP โดยทำการเลือกประเภทผลิตภัณฑ์ และรุ่นของอุปกรณ์
หากต้องการอัปเดต QTS, QuTS Hero หรือ QuTScloud ผู้ใช้งานต้องคลิกตัวเลือก "Check for Update" ในส่วน "Live Update" หลังจากเข้าสู่ระบบในฐานะผู้ดูแลระบบและไปที่ Control Panel > System > Firmware Update

QNAP NAS ตกเป็นเป้าหมายในการโจมตีมาอย่างต่อเนื่อง อย่างในกรณีล่าสุดที่พบแคมเปญการโจมตีของ DeadBolt และ eCh0raix ransomware ที่มีการใช้ช่องโหว่ของ QNAP NAS เพื่อเข้ารหัสข้อมูลบนอุปกรณ์ QNAP NAS ที่เข้าถึงได้จากอินเทอร์เน็ต

ที่มา : bleepingcomputer

QNAP ได้ออกมาแจ้งเตือนผู้ใช้งานให้รีบป้องกันอุปกรณ์เก็บข้อมูลแบบเครือข่าย Network Attached Storage (NAS) ที่เชื่อมต่อออกอินเทอร์เน็ตทันทีจากการโจมตีทั้ง ransomware และการโจมตีแบบ brute-force

"QNAP แนะนำให้ผู้ใช้ QNAP NAS ทุกคนปฏิบัติตามคำแนะนำในการตั้งค่าความปลอดภัยด้านล่าง เพื่อความปลอดภัยของอุปกรณ์เครือข่าย QNAP" ผู้ผลิต NAS ของไต้หวันกล่าวในการแถลงข่าว

ผู้ผลิตอุปกรณ์ NAS เตือนผู้ใช้ให้เช็คว่า NAS ของตนถูกโจมตีได้หรือไม่ โดยเปิด Security Counselor ซึ่งเป็น security portal ในตัวสำหรับอุปกรณ์ QNAP NAS

"NAS ของคุณอาจถูกโจมตี และมีความเสี่ยงสูงหากมีข้อความว่า 'The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP’ บน Dashboard"

QNAP แนะนำให้ลูกค้าที่มีอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ตให้ดำเนินการดังต่อไปนี้เพื่อป้องกันการโจมตี:

ปิดใช้งานฟังก์ชัน Port Forwarding ของเราเตอร์: เข้าไปที่ Management Interface ของ Router, ตรวจสอบการตั้งค่า Virtual Server, NAT หรือ Port forwarding และปิดใช้งาน Port Forwarding เซอร์วิสที่ใช้จัดการ NAS (พอร์ต 8080 และ 433 )
ปิดใช้งานฟังก์ชัน UPnP ของ QNAP NAS: ไปที่ myQNAPcloud บนเมนู QTS คลิก “Auto Router Configuration” และยกเลิกการเลือก "Enable UPnP Port forwarding"

ผู้ผลิตอุปกรณ์ NAS ยังให้รายละเอียดขั้นตอนในการปิดการเชื่อมต่อ SSH และ Telnet และเปลี่ยนหมายเลขพอร์ตของระบบ เปลี่ยนรหัสผ่านของอุปกรณ์ และเปิดใช้งานการป้องกัน IP และการเข้าถึงบัญชี

คำเตือนนี้มีขึ้นหลังจากการถูกโจมตีด้วยแรนซัมแวร์จำนวนมาก

แม้ว่าบริษัทจะไม่เปิดเผยรายละเอียดอื่นใดเกี่ยวกับการโจมตีเหล่านี้ แต่ BleepingComputer ได้รายงานเกี่ยวกับลูกค้า QNAP ว่าระบบของพวกเขาตกเป็นเป้าหมายของ eCh0raix ransomware (หรือที่เรียกว่า QNAPCrypt) และพบว่าเหตุการณ์เหล่านี้เพิ่มขึ้นจำนวนมากในช่วงก่อนวันคริสต์มาส และยังไม่มีการระบุถึงช่องทางที่ผู้โจมตีใช้ในการโจมตี

อย่างไรก็ตาม รายงานจากผู้ใช้บางส่วนที่ถูกโจมตีด้วย ransomware มาจากการตั้งค่าที่ไม่ปลอดภัยของ QNAP ส่วนรายงานอื่นๆอ้างว่าผู้โจมตีใช้ช่องโหว่ของ QNAP Photo Station ในการโจมตี

BleepingComputer พบการเรียกค่าไถ่ ech0raix ตั้งแต่ $1,200 ถึง $3,000 ด้วย bitcoins ในการโจมตีรอบล่าสุด ผู้โจมตีบางคนได้รับเงินเพราะเหยื่อไม่มีข้อมูลสำรองของไฟล์ที่ถูกเข้ารหัส

ก่อนหน้านี้อุปกรณ์ QNAP ตกเป็นเป้าหมายของแรนซัมแวร์ eCh0raix ในเดือนมิถุนายน 2019 และมิถุนายน 2020 โดยผู้ผลิตอุปกรณ์ NAS ยังแจ้งเตือนผู้ใช้ถึงการโจมตี eCh0raix อีกชุดหนึ่งที่พุ่งเป้าไปที่อุปกรณ์ที่ใช้รหัสผ่านที่ไม่รัดกุมในเดือนพฤษภาคม 2021

ที่มา : bleepingcomputer

QNAP ออกแจ้งเตือนผู้ใช้เกี่ยวกับแคมเปญ การโจมตีด้วย Brute-force attacks ที่กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS อย่างต่อเนื่อง และได้ออกคำแนะนำให้ผู้ใช้ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

QNAP ได้รับรายงานว่าผู้ใช้หลายรายกำลังถูกผู้ไม่หวังดีพยายามที่จะเข้าสู่ระบบของอุปกรณ์ QNAP โดยใช้วิธีโจมตีด้วยเทคนิค Brute-force attacks หากอุปกรณ์ QNAP มีการใช้รหัสผ่านที่ง่ายหรือคาดเดาได้ เช่น “password” หรือ “12345” จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงอุปกรณ์ได้โดยง่าย และสามารถขโมยเอกสารที่มีความสำคัญหรือติดตั้งมัลแวร์ได้ โดยผู้ดูแลควรหมั่นตรวจสอบข้อมูล log การเข้าสู่ระบบ เนื่องจากการคาดเดารหัสผ่านจะทำให้เกิด log ที่แจ้ง "Failed to login" หากเจอ log ลักษณะดังกล่าวในปริมาณมากกว่าปกติ หรือเจอบ่อย ๆ ควรมีการตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์

QNAP ได้ออกคำแนะนำให้ผู้ใช้อุปกรณ์ NAS ทำการเปลี่ยนหมายเลขพอร์ตของ Default access และควรทำการใช้รหัสผ่านที่คาดเดาได้ยาก จากนั้นปิดใช้งานบัญชี admin หากไม่จำเป็นที่จะต้องใช้งาน เนื่องจากบัญชีดังกล่าวตกเป็นเป้าหมายในการโจมตี และผู้ดูแลระบบควรทำการสร้างบัญชีผู้ดูแลระบบใหม่ เพื่อป้องกันการตกเป็นเป้าหมายจากการโจมตี ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปอ่านรายละเอียดการตั้งค่าความปลอดภัยได้ที่: qnap

ที่มา: bleepingcomputer