มีรายงานช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ Device Manager ของ Kyocera ซึ่งอาจถูกนำมาใช้โดยผู้ไม่หวังดีเพื่อดำเนินกิจกรรมที่เป็นอันตรายบนระบบที่มีช่องโหว่

ช่องโหว่นี้ทำให้ผู้โจมตีสามารถใช้งาน SMB share เพื่อส่งข้อมูล hashed credentials ของ Active Directory หากไม่ได้มีการเปิดใช้งาน Policy "Restrict NTLM: Outgoing NTLM traffic to remote servers"

ช่องโหว่มีหมายเลข CVE-2023-50916 โดยคำแนะนำจาก Kyocera ที่เผยแพร่เมื่อปลายเดือนที่แล้วระบุว่า เป็นช่องโหว่ path traversal ที่ช่วยให้ผู้โจมตีสามารถดักจับ และเปลี่ยนแปลงเส้นทางในเครื่องที่ชี้ไปยังตำแหน่งสำรองของฐานข้อมูล ตามรูปแบบ universal naming convention (UNC) ซึ่งจะทำให้เว็บแอปพลิเคชันพยายาม authenticate กับ UNC path ปลอม ส่งผลให้เกิดการเข้าถึงบัญชีของลูกค้า และการโจรกรรมข้อมูลโดยไม่ได้รับอนุญาต ขึ้นอยู่กับการกำหนดค่าที่อาจถูกนำไปใช้ในการโจมตีแบบ NTLM relay attacks

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วใน Kyocera Device Manager เวอร์ชัน 3.1.1213.0

QNAP เผยแพร่การแก้ไขช่องโหว่หลายรายการ

รายงานดังกล่าวเกิดขึ้นหลังจากที่ QNAP เปิดตัวแพตซ์แก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ QTS และ QuTS hero, QuMagie, Netatalk และ Video Station

ช่องโหว่หมายเลข CVE-2023-39296 ซึ่งเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอก override แอตทริบิวต์ที่มีอยู่ด้วย incompatible แอตทริบิวต์ ซึ่งอาจทำให้ระบบล่มได้

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในเวอร์ชัน QTS 5.1.3.2578 build 20231110 และ QuTS hero h5.1.3.2578 build 20231110

คำอธิบายของช่องโหว่อื่น ๆ ที่มีดังนี้

CVE-2023-47559 - ช่องโหว่ cross-site scripting (XSS) ใน QuMagie ที่อาจทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถแทรกคำสั่งที่เป็นอันตรายผ่านเครือข่ายได้ (สำหรับ QuMagie 2.2.1 และเวอร์ชันใหม่กว่า)
CVE-2023-47560 - ช่องโหว่การแทรกคำสั่งของระบบปฏิบัติการใน QuMagie ที่อาจทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถรันคำสั่งผ่านเครือข่ายได้ (สำหรับ QuMagie 2.2.1 และเวอร์ชันใหม่กว่า)
CVE-2023-41287 - ช่องโหว่ SQL injection ใน Video Station ที่อาจทำให้ผู้ใช้สามารถแทรกคำสั่งที่เป็นอันตรายผ่านเครือข่ายได้ (สำหรับ Video Station 5.7.2 และเวอร์ชันใหม่กว่า)
CVE-2023-41288 - ช่องโหว่ command injection ของระบบปฏิบัติการใน Video Station ที่อาจทำให้ผู้ใช้สามารถรันคำสั่งผ่านเครือข่ายได้ (สำหรับ Video Station 5.7.2 และเวอร์ชันใหม่กว่า)
CVE-2022-43634 - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนใน Netatalk ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้โดยที่ไม่ได้รับอนุญาต (สำหรับ QTS 5.1.3.2578 build 20231110 และ QuTS hero h5.1.3.2578 build 20231110)
แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตี แต่แนะนำให้ผู้ใช้งานดำเนินการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น

ที่มา : thehackernews

QNAP ผู้จำหน่ายฮาร์ดแวร์ด้านการสำรองข้อมูลของไต้หวัน ได้แจ้งเตือนไปยังผู้ใช้งานให้รีบทำการอัปเดตแพตซ์ด้านความปลอดภัยในอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย Network-Attached Storage ที่ใช้งานบนระบบ Linux เพื่อป้องกันช่องโหว่การยกระดับสิทธิ์ Sudo ที่มีระดับความรุนแรงสูง

CVE-2023-22809 (คะแนน CVSS 7.8/10 ระดับความรุนแรงสูง) เป็นช่องโหว่การ bypass sudoers policy ใน Sudo เวอร์ชัน 1.9.12p1 เมื่อใช้ sudoedit ทำให้สามารถเพิ่มระดับสิทธิ์โดยการแก้ไขไฟล์ที่ไม่ได้รับอนุญาต โดยการเพิ่ม arbitrary entries ลงในรายการไฟล์ที่ต้องดำเนินการ ซึ่งส่งผลกระทบต่ออุปกรณ์ที่ใช้ Sudo เวอร์ชัน 1.8.0 ถึง 1.9.12p1 รวมไปถึงระบบปฏิบัติการ NAS ของ QTS, QuTS Hero, QuTScloud และ QVP (QVR Pro)

การป้องกัน

ทำการอัปเดตเพื่อแก้ไขช่องโหว่โดยทันทีจาก QNAP โดยทำการเลือกประเภทผลิตภัณฑ์ และรุ่นของอุปกรณ์
หากต้องการอัปเดต QTS, QuTS Hero หรือ QuTScloud ผู้ใช้งานต้องคลิกตัวเลือก "Check for Update" ในส่วน "Live Update" หลังจากเข้าสู่ระบบในฐานะผู้ดูแลระบบและไปที่ Control Panel > System > Firmware Update

QNAP NAS ตกเป็นเป้าหมายในการโจมตีมาอย่างต่อเนื่อง อย่างในกรณีล่าสุดที่พบแคมเปญการโจมตีของ DeadBolt และ eCh0raix ransomware ที่มีการใช้ช่องโหว่ของ QNAP NAS เพื่อเข้ารหัสข้อมูลบนอุปกรณ์ QNAP NAS ที่เข้าถึงได้จากอินเทอร์เน็ต

ที่มา : bleepingcomputer

หลังจากที่ QNAP บริษัทด้านอุปกรณ์สำรองข้อมูลได้เผยแพร่อัปเดตเพื่อแก้ไขช่องโหว่ระดับ Critical บนอุปกรณ์เก็บสำรองข้อมูลที่เชื่อมต่อกับเครือข่าย Network-Attached Storage (NAS) ซึ่งอาจนำไปสู่การโจมตี และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

บริษัท QNAP ของไต้หวันได้เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ที่มีผลกระทบต่อ network-attached storage (NAS) ซึ่งอาจนำไปสู่การโจมตีแบบ code injection (more…)

QNAP ผู้จำหน่าย Network-attached storage (NAS) เตือนผู้ใช้งานให้เฝ้าระวังอุปกรณ์จากการถูกโจมตีโดย Checkmate ransomware

QNAP กล่าวว่าการโจมตีมุ่งเป้าไปที่อุปกรณ์ QNAP ที่เข้าถึงได้จากอินเทอร์เน็ต โดยมีการเปิดใช้งาน SMB และมีรหัสผ่านที่ไม่รัดกุม ซึ่งอาจทำให้สามารถถูกเดารหัสผ่านได้อย่างง่ายดาย

จากการตรวจสอบเบื้องต้นพบว่า *Checkmate ransomware* สามารถโจมตีผ่านโปรโตคอล SMB ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และใช้การโจมตีแบบ dictionary attack เพื่อโจมตีบัญชีที่มีรหัสผ่านที่ไม่รัดกุม

Checkmate เป็นแรนซัมแวร์ตัวใหม่ที่ถูกค้นพบเมื่อเร็วๆ นี้ ซึ่งถูกใช้ในการโจมตีเมื่อประมาณวันที่ 28 พฤษภาคม ซึ่งจะต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .checkmate และทิ้งข้อความเรียกค่าไถ่ชื่อ !CHECKMATE_DECRYPTION_README

จากบันทึกเรียกค่าไถ่ที่ BleepingComputer ตรวจพบ ผู้โจมตีบังคับให้เหยื่อจ่ายเงิน Bitcoin มูลค่า 15,000 ดอลลาร์เพื่อแลกกับการถอดรหัส และคีย์ถอดรหัส

จากข้อมูลของ QNAP ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้จะ remote เข้าสู่ระบบในอุปกรณ์ด้วยบัญชีที่ถูกโจมตี หลังจากเข้าถึงได้พวกเขาจะเริ่มเข้ารหัสไฟล์ในโฟลเดอร์

วิธีป้องกันการโจมตีจาก Checkmate ransomware

QNAP เตือนผู้ใช้งานไม่ควรเปิดให้เข้าถึง NAS ของตนได้จากอินเทอร์เน็ต และใช้ VPN ในการเข้าถึงแทน นอกจากนี้ผู้ใช้งาน QNAP ควรใช้รหัสผ่านที่มีความรัดกุม และทำการตรวจสอบบัญชี NAS ทั้งหมดในปัจจุบันของตน และทำการสำรองไฟล์ไว้อย่างสม่ำเสมอ

ควรปิดการใช้งาน SMB 1 โดยผู้ที่ใช้ QTS, QuTS hero หรือ QuTScloud ให้ไปที่ Control Panel > Network & File > Win/Mac/NFS/WebDAV > Microsoft Networking, เลือก "SMB 2 or higher" หลังจากคลิก Advanced Options.

พบช่องโหว่ PHP ระดับ Critical บนอุปกรณ์ NAS ของ QNAP

QNAP ผู้ผลิตอุปกรณ์ Network-attached Storage (NAS) พบว่ามีช่องโหว่บน PHP ที่อาจถูกนำไปใช้ในการโจมตีด้วยการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ซึ่งช่องโหว่นี้มีอายุกว่า 3 ปีแล้ว โดยช่องโหว่ดังกล่าวจะส่งผลกระทบต่อ PHP เวอร์ชั่นที่ต่ำกว่า 7.1.33 หรือ 7.2.24 หรือ 7.3.11 ซึ่งเกิดจากการตั้งค่า Nginx ที่ไม่เหมาะสม และถ้าหากโจมตีช่องโหว่ดังกล่าวสำเร็จก็จะสามารถทำให้ผู้โจมตีเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่นี้มีหมายเลข CVE-2019-11043 ระดับ CVSS: 9.8 ซึ่งการโจมตีจะสำเร็จได้ ระบบต้องมี Nginx และ php-fpm ทำงานอยู่บนระบบปฏิบัติการของ QNAP เวอร์ชันต่อไปนี้

QTS 5.0.x ขึ้นไป

QTS 4.5.x ขึ้นไป

QuTS hero h5.0.x ขึ้นไป

QuTS hero h4.5.x ขึ้นไป

QuTScloud c5.0.x ขึ้นไป

โดย QTS, QuTS hero หรือ QuTScloud จะไม่มี Nginx ติดตั้งไว้โดยค่าเริ่มต้น ซึ่งหากไม่ได้มีการติดตั้ง Nginx เพิ่มเติมในภายหลังก็จะไม่ได้รับผลกระทบ อย่างไรก็ตามก็มีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวแล้วใน OS เวอร์ชัน QTS 5.0.1.2034 build 20220515 และ QuTS hero h5.0.0.2069 build 20220614

การแจ้งเตือนนี้เกิดขึ้นหนึ่งสัปดาห์หลังจากที่ QNAP เปิดเผยรายงานการตรวจสอบอย่างละเอียดหลังจากที่ถูกโจมตีโดย DeadBolt Ransomware ที่ได้กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS ที่ใช้ QTS 4.x ซึ่งเป็นเวอร์ชั่นที่เก่ามากแล้ว

 

นอกจากนี้ QNAP ยังแนะนำผู้ใช้งานที่ไม่สามารถระบุตำแหน่งบันทึกเรียกค่าไถ่หลังจากการ Upgrade Firmware ในกรณีที่ต้องการป้อนคีย์ถอดรหัสจาก DeadBolt ให้ติดต่อไปยัง QNAP Support เพื่อขอคำแนะนำ

ที่มา : thehackernews.

QNAP ได้ออกมาแจ้งเตือนผู้ใช้งานให้รีบป้องกันอุปกรณ์เก็บข้อมูลแบบเครือข่าย Network Attached Storage (NAS) ที่เชื่อมต่อออกอินเทอร์เน็ตทันทีจากการโจมตีทั้ง ransomware และการโจมตีแบบ brute-force

"QNAP แนะนำให้ผู้ใช้ QNAP NAS ทุกคนปฏิบัติตามคำแนะนำในการตั้งค่าความปลอดภัยด้านล่าง เพื่อความปลอดภัยของอุปกรณ์เครือข่าย QNAP" ผู้ผลิต NAS ของไต้หวันกล่าวในการแถลงข่าว

ผู้ผลิตอุปกรณ์ NAS เตือนผู้ใช้ให้เช็คว่า NAS ของตนถูกโจมตีได้หรือไม่ โดยเปิด Security Counselor ซึ่งเป็น security portal ในตัวสำหรับอุปกรณ์ QNAP NAS

"NAS ของคุณอาจถูกโจมตี และมีความเสี่ยงสูงหากมีข้อความว่า 'The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP’ บน Dashboard"

QNAP แนะนำให้ลูกค้าที่มีอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ตให้ดำเนินการดังต่อไปนี้เพื่อป้องกันการโจมตี:

ปิดใช้งานฟังก์ชัน Port Forwarding ของเราเตอร์: เข้าไปที่ Management Interface ของ Router, ตรวจสอบการตั้งค่า Virtual Server, NAT หรือ Port forwarding และปิดใช้งาน Port Forwarding เซอร์วิสที่ใช้จัดการ NAS (พอร์ต 8080 และ 433 )
ปิดใช้งานฟังก์ชัน UPnP ของ QNAP NAS: ไปที่ myQNAPcloud บนเมนู QTS คลิก “Auto Router Configuration” และยกเลิกการเลือก "Enable UPnP Port forwarding"

ผู้ผลิตอุปกรณ์ NAS ยังให้รายละเอียดขั้นตอนในการปิดการเชื่อมต่อ SSH และ Telnet และเปลี่ยนหมายเลขพอร์ตของระบบ เปลี่ยนรหัสผ่านของอุปกรณ์ และเปิดใช้งานการป้องกัน IP และการเข้าถึงบัญชี

คำเตือนนี้มีขึ้นหลังจากการถูกโจมตีด้วยแรนซัมแวร์จำนวนมาก

แม้ว่าบริษัทจะไม่เปิดเผยรายละเอียดอื่นใดเกี่ยวกับการโจมตีเหล่านี้ แต่ BleepingComputer ได้รายงานเกี่ยวกับลูกค้า QNAP ว่าระบบของพวกเขาตกเป็นเป้าหมายของ eCh0raix ransomware (หรือที่เรียกว่า QNAPCrypt) และพบว่าเหตุการณ์เหล่านี้เพิ่มขึ้นจำนวนมากในช่วงก่อนวันคริสต์มาส และยังไม่มีการระบุถึงช่องทางที่ผู้โจมตีใช้ในการโจมตี

อย่างไรก็ตาม รายงานจากผู้ใช้บางส่วนที่ถูกโจมตีด้วย ransomware มาจากการตั้งค่าที่ไม่ปลอดภัยของ QNAP ส่วนรายงานอื่นๆอ้างว่าผู้โจมตีใช้ช่องโหว่ของ QNAP Photo Station ในการโจมตี

BleepingComputer พบการเรียกค่าไถ่ ech0raix ตั้งแต่ $1,200 ถึง $3,000 ด้วย bitcoins ในการโจมตีรอบล่าสุด ผู้โจมตีบางคนได้รับเงินเพราะเหยื่อไม่มีข้อมูลสำรองของไฟล์ที่ถูกเข้ารหัส

ก่อนหน้านี้อุปกรณ์ QNAP ตกเป็นเป้าหมายของแรนซัมแวร์ eCh0raix ในเดือนมิถุนายน 2019 และมิถุนายน 2020 โดยผู้ผลิตอุปกรณ์ NAS ยังแจ้งเตือนผู้ใช้ถึงการโจมตี eCh0raix อีกชุดหนึ่งที่พุ่งเป้าไปที่อุปกรณ์ที่ใช้รหัสผ่านที่ไม่รัดกุมในเดือนพฤษภาคม 2021

ที่มา : bleepingcomputer

QNAP ออกแจ้งเตือนผู้ใช้เกี่ยวกับแคมเปญ การโจมตีด้วย Brute-force attacks ที่กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS อย่างต่อเนื่อง และได้ออกคำแนะนำให้ผู้ใช้ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

QNAP ได้รับรายงานว่าผู้ใช้หลายรายกำลังถูกผู้ไม่หวังดีพยายามที่จะเข้าสู่ระบบของอุปกรณ์ QNAP โดยใช้วิธีโจมตีด้วยเทคนิค Brute-force attacks หากอุปกรณ์ QNAP มีการใช้รหัสผ่านที่ง่ายหรือคาดเดาได้ เช่น “password” หรือ “12345” จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงอุปกรณ์ได้โดยง่าย และสามารถขโมยเอกสารที่มีความสำคัญหรือติดตั้งมัลแวร์ได้ โดยผู้ดูแลควรหมั่นตรวจสอบข้อมูล log การเข้าสู่ระบบ เนื่องจากการคาดเดารหัสผ่านจะทำให้เกิด log ที่แจ้ง "Failed to login" หากเจอ log ลักษณะดังกล่าวในปริมาณมากกว่าปกติ หรือเจอบ่อย ๆ ควรมีการตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์

QNAP ได้ออกคำแนะนำให้ผู้ใช้อุปกรณ์ NAS ทำการเปลี่ยนหมายเลขพอร์ตของ Default access และควรทำการใช้รหัสผ่านที่คาดเดาได้ยาก จากนั้นปิดใช้งานบัญชี admin หากไม่จำเป็นที่จะต้องใช้งาน เนื่องจากบัญชีดังกล่าวตกเป็นเป้าหมายในการโจมตี และผู้ดูแลระบบควรทำการสร้างบัญชีผู้ดูแลระบบใหม่ เพื่อป้องกันการตกเป็นเป้าหมายจากการโจมตี ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปอ่านรายละเอียดการตั้งค่าความปลอดภัยได้ที่: qnap

ที่มา: bleepingcomputer

QNAP ได้ทำการอัปเดตเเพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญสองรายการในแอปพลิเคชัน Helpdesk ซึ่งอาจทำให้ผู้โจมตีสามารถเข้ายึดอุปกรณ์จัดเก็บข้อมูล (NAS) ที่ไม่ได้รับการแพตช์เเก้ไขช่องโหว่จาก QNAP

Helpdesk เป็นแอปพลิเคชันที่มาพร้อมกับอุปกรณ์ NAS ของ QNAP โดยจะอนุญาตให้ผู้ดูแลระบบส่งคำขอความช่วยเหลือไปยังทีมสนับสนุน QNAP ทางอินเทอร์เน็ต ซึ่งแอปพลิเคชันนี้ยังมาพร้อมกับฟีเจอร์การสนับสนุนจากระยะไกลที่อนุญาตให้เชื่อมต่อกับอุปกรณ์จากระยะไกลได้โดยรับอนุญาตจากเจ้าของ

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-2506 และ CVE-2020-2507 โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ QNAP ได้

ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์แอปพลิเคชัน Helpdesk ให้เป็นเวอร์ชัน 3.0.3 หรือมากกว่าเพื่อเป็นการป้องกันการโจมตีระบบจากผู้ประสงค์ร้าย

ที่มา : bleepingcomputer

ผู้ผลิต QNAP ออกเเจ้งเตือนให้ลูกค้าทำการอัปเดตเฟิร์มแวร์และแอปพลิเคชันที่ติดตั้งในอุปกรณ์ Network-Attached Storage (NAS) เพื่อป้องกันแรนซัมแวร์สายพันธุ์ที่ชื่อ AgeLocker ransomware

AgeLocker ransomware ถูกพบการใช้งานครั้งเเรกตั้งแต่เดือนมิถุนายนที่ผ่านมา โดย AgeLocker จะใช้อัลกอริธึม Actually Good Encryption (AGE) ในการเข้ารหัสเครื่องผู้ใช้ ซึ่งอัลกอริทึมการเข้ารหัส AGE ถือว่ามีความปลอดภัยในการเข้ารหัสและเมื่อผู้ใช้ถูกเข้ารหัสผู้ใช้จะไม่สามารถกู้คืนข้อมูลได้นอกจากจ่ายค่าไถ่สำหรับข้อมูลที่ถูกเข้ารหัส

ทีม QNAP Product Security Incident Response Team (PSIRT) ได้ทำการตรวจพบหลักฐานว่าอาจมีการโจมตีด้วย AgeLocker ransomware ซึ่งทีม PSIRT พบว่า AgeLocker ได้ทำการเข้าถึงอุปกรณ์ QNAP จากเฟิร์มแวร์อุปกรณ์ หรือที่เรียกว่า QTS และแอปพลิเคชัน PhotoStation ที่ติดตั้งมาพร้อบกับระบบ QNAP

ทั้งนี้ผู้ใช้งานอุปกรณ์ QNAP NAS ควรทำการอัปเดตเฟิร์มแวร์และแอปพลิเคชัน PhotoStation เพื่อเป็นการป้องกันการตกเป็นเหยือของ AgeLocker ransomware และเพื่อป้องกันการสูญเสียของข้อมูลเนื่องจากการโจมตี

ที่มา : zdnet

ภาพจาก : bleepingcomputer