การอัปเดตเฟิร์มแวร์ของ QNAP ทำให้ผู้ดูแลระบบ NAS ไม่สามารถเข้าถึงอุปกรณ์ได้

การอัปเดตเฟิร์มแวร์ล่าสุดที่ถูกส่งไปยังอุปกรณ์ QNAP Network Attached Storage (NAS) ทำให้ผู้ดูแลระบบหลายรายไม่สามารถเข้าถึงระบบจัดเก็บข้อมูลของตนได้ บริษัทได้ถอนการอัปเดตเฟิร์มแวร์ และปล่อยเวอร์ชันที่ได้รับการแก้ไขแล้ว แต่การตอบสนองของบริษัททำให้บางผู้ (more…)

QNAP แก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ NAS และเราเตอร์

QNAP เผยแพร่ประกาศด้านความปลอดภัยในช่วงสุดสัปดาห์ที่ผ่านมา ซึ่งระบุถึงช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีความรุนแรงระดับ Critical 3 รายการที่ผู้ใช้งานควรอัปเดตแพทช์โดยเร็วที่สุด

เริ่มต้นด้วย QNAP Notes Station 3 ซึ่งเป็นแอปพลิเคชันสำหรับจดบันทึก และใช้ทำงานร่วมกันในระบบ NAS ของบริษัท โดยมีช่องโหว่ 2 รายการที่ส่งผลกระทบต่อแอปพลิเคชันนี้

CVE-2024-38643 (คะแนน CVSS v4: 9.3 ความรุนแรงระดับ Critical) เป็นช่องโหว่การขาดการตรวจสอบการยืนยันตัวตนในฟังก์ชันที่สำคัญ ซึ่งอาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงระบบได้โดยไม่ได้รับอนุญาต และสามารถเข้าควบคุมระบบบางอย่างได้ การที่ไม่มีระบบการตรวจสอบการยืนยันตัวตนที่เหมาะสมทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยไม่ต้องมีข้อมูล credential
CVE-2024-38645 (คะแนน CVSS v4: 9.4 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Server-side request forgery (SSRF) ที่อาจทำให้ผู้โจมตีจากภายนอกที่มีข้อมูล credentials สำหรับการยืนยันตัวตน สามารถส่ง requests ที่สร้างขึ้นมาเป็นพิเศษเพื่อควบคุมพฤติกรรมของฝั่งเซิร์ฟเวอร์ ซึ่งอาจทำให้ข้อมูลที่สำคัญของแอปพลิเคชันถูกเปิดเผยได้

QNAP ได้แก้ไขช่องโหว่ดังกล่าวใน Notes Station 3 เวอร์ชัน 3.9.7 แล้ว และแนะนำให้ผู้ใช้ทำการอัปเดตเป็นเวอร์ชันดังกล่าว หรือใหม่กว่าเพื่อลดความเสี่ยง

ช่องโหว่อีก 2 รายการที่ระบุในประกาศฉบับเดียวกัน คือ CVE-2024-38644 และ CVE-2024-38646 เป็นช่องโหว่ที่มีความรุนแรงระดับ High (คะแนน CVSS v4: 8.7 และ 8.4) โดยช่องโหว่เหล่านี้เกี่ยวข้องกับการโจมตีแบบ Command Injection และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งต้องอาศัยการเข้าถึงในระดับผู้ใช้งานจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้

ช่องโหว่ใน QuRouter

ช่องโหว่ที่ 3 ระดับ Critical ที่ QNAP แก้ไขคือ CVE-2024-48860 ส่งผลกระทบต่อผลิตภัณฑ์ QuRouter 2.4.x ซึ่งเป็นกลุ่มเราเตอร์ความเร็วสูง และมีความปลอดภัยของ QNAP

ช่องโหว่นี้จัดอยู่ในระดับ "Critical" (คะแนน CVSS v4: 9.5) โดยเป็นช่องโหว่ OS Command Injection ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถรันคำสั่งบนระบบได้

นอกจากนี้ QNAP ยังได้แก้ไขช่องโหว่ command injection ที่มีระดับความรุนแรงต่ำ ซึ่งมีหมายเลข CVE-2024-48861 โดยทั้งสองช่องโหว่ได้รับการแก้ไขแล้วใน QuRouter เวอร์ชัน 2.4.3.106

การแก้ไขอื่น ๆ ของ QNAP

ผลิตภัณฑ์อื่น ๆ ที่ได้รับการแก้ไขช่องโหว่ในช่วงสุดสัปดาห์นี้ ได้แก่ QNAP AI Core (เอนจิน AI), QuLog Center (เครื่องมือจัดการ log), QTS (ระบบปฏิบัติการมาตรฐานสำหรับอุปกรณ์ NAS) และ QuTS Hero (เวอร์ชันขั้นสูงของ QTS)

ช่องโหว่สำคัญที่ได้รับการแก้ไขในผลิตภัณฑ์เหล่านี้ ซึ่งมีคะแนน CVSS v4 อยู่ที่ระหว่าง 7.7 ถึง 8.7 (ความรุนแรงระดับ High)

CVE-2024-38647: เป็นช่องโหว่การเปิดเผยข้อมูล (Information Exposure) ที่อาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงข้อมูลที่สำคัญ และทำให้ความปลอดภัยของระบบถูกโจมตี โดยช่องโหว่นี้ส่งผลกระทบต่อ QNAP AI Core เวอร์ชัน 3.4.x และได้รับการแก้ไขแล้วในเวอร์ชัน 3.4.1 และเวอร์ชันที่ใหม่กว่า
CVE-2024-48862: เป็นช่องโหว่ Link-Following flaw ที่อาจทำให้ผู้โจมตีจากภายนอก สามารถเข้าถึง หรือแก้ไขไฟล์ได้ ช่องโหว่นี้ส่งผลกระทบต่อ QuLog Center เวอร์ชัน 1.7.x และ 1.8.x โดยได้รับการแก้ไขในเวอร์ชัน 1.7.0.831 และ 1.8.0.888
CVE-2024-50396 และ CVE-2024-50397: เป็นช่องโหว่เกี่ยวกับ การจัดการรูปแบบสตริงที่มีการควบคุมจากภายนอก (Improper Handling of Externally Controlled Format Strings) ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญ หรือแก้ไขหน่วยความจำของระบบได้ ซึ่งช่องโหว่หมายเลข CVE-2024-50396 สามารถถูกใช้โจมตีจากระยะไกลเพื่อควบคุมหน่วยความจำของระบบได้ ในขณะที่ช่องโหว่ CVE-2024-50397 จำเป็นต้องมีการเข้าถึงในระดับผู้ใช้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ โดยช่องโหว่ทั้งสองรายการได้รับการแก้ไขแล้วใน QTS เวอร์ชัน 5.2.1.2930 และ QuTS Hero เวอร์ชัน h5.2.1.2929

QNAP แนะนำให้ลูกค้าทำการติดตั้งแพตซ์อัปเดตโดยเร็วที่สุดเพื่อป้องกันการถูกโจมตีที่อาจเกิดขึ้น

ตามปกติแล้ว อุปกรณ์ QNAP ไม่ควรเชื่อมต่อกับอินเทอร์เน็ตโดยตรง แต่ควรใช้งานผ่าน VPN แทน เพื่อป้องกันการถูกโจมตีจากระยะไกลผ่านช่องโหว่ต่าง ๆ

ที่มา : bleepingcomputer

Synology ออกอัปเดตแก้ไขช่องโหว่ Zero-Days ที่ถูกใช้โจมตีในงาน Pwn2Own

Synology ผู้ผลิตอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย (NAS) ของไต้หวัน ได้แก้ไขช่องโหว่ระดับ Critical 2 รายการที่ถูกโจมตีในการแข่งขัน Pwn2Own hacking competition (more…)

QNAP ออกแพตช์แก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนำมาใช้ในการโจมตีในงาน Pwn2Own เพื่อยกระดับสิทธิ์เป็น root

QNAP ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนักวิจัยด้านความปลอดภัยนำไปใช้โจมตีในการแข่งขันแฮ็ก Pwn2Own เมื่อสัปดาห์ที่ผ่านมา

ช่องโหว่ระดับ Critical นี้เป็นช่องโหว่ SQL injection (SQLi) ที่มีหมายเลข CVE-2024-50387 เป็นช่องโหว่ใน SMB service ของ QNAP และได้รับการแก้ไขแล้วในเวอร์ชัน 4.15.002 ขึ้นไป และ h4.15.002 ขึ้นไป

ช่องโหว่ zero-day นี้ได้รับการแก้ไขไปแล้วหนึ่งสัปดาห์หลังจากที่ YingMuo (ซึ่งทำงานร่วมกับโครงการฝึกงาน DEVCORE) สามารถเข้าถึงสิทธิ์ root และควบคุมอุปกรณ์ QNAP TS-464 NAS ได้ในงาน Pwn2Own Ireland 2024 (more…)

QNAP แก้ไขช่องโหว่ Zero-Day บน NAS Backup Software ที่ถูกใช้โจมตีใน Pwn2Own

QNAP แก้ไขช่อง zero-day ความรุนแรงระดับ Critical ที่ถูกนักวิจัยด้านความปลอดภัยใช้โจมตีอุปกรณ์ NAS TS-464 ในระหว่างการแข่งขัน Pwn2Own Ireland 2024

CVE-2024-50388 เป็นช่องโหว่ด้านความปลอดภัยที่เกิดจาก OS command injection ใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.x ซึ่งเป็นโซลูชันการกู้คืนระบบ และการสำรองข้อมูล ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งได้ตามที่ต้องการได้

ช่องโหว่ดังกล่าวถูกค้นพบโดย Ha The Long และ Ha Anh Hoang จาก Viettel Cyber ​​Security ที่สามารถเรียกใช้คำสั่ง และได้รับสิทธิ์ของผู้ดูแลระบบในวันที่สามของงาน Pwn2Own Ireland 2024

ปัจจุบัน QNAP ได้แก้ไขช่องโหว่ดังกล่าวแล้วใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.1.673 และเวอร์ชันที่ใหม่กว่า

หากต้องการอัปเดต HBS 3 บนอุปกรณ์ NAS สามารถเข้าสู่ระบบ QTS หรือ QuTS hero ในฐานะผู้ดูแลระบบ เปิด App Center และค้นหา "HBS 3 Hybrid Backup Sync" หากมีการอัปเดต ให้คลิก "Update" หากไม่พบปุ่ม "Update" แสดงว่า HBS 3 Hybrid Backup Sync อาจได้รับการอัปเดตไปแล้ว

หลังจากการแข่งขัน Pwn2Own ผู้ให้บริการมักจะใช้เวลาในการออกอัปเดตแพตซ์ด้านความปลอดภัย เนื่องจากพวกเขามีเวลา 90 วันจนกว่า Zero Day Initiative ของ Trend Micro จะเผยแพร่รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ถูกใช้ในระหว่างการแข่งขัน Pwn2Own

ทั้งนี้ในการแข่งขันดังกล่าว ทีม Viettel เป็นผู้คว้าชัยชนะในการแข่งขัน Pwn2Own Ireland 2024 โดยมีรางวัลมูลค่ารวมกว่า 1 ล้านเหรียญสหรัฐฯ โดยมอบให้กับ Hacker ที่เปิดเผยช่องโหว่ Zero Day ที่ไม่ซ้ำกันมากกว่า 70 รายการ

ในปี 2021 QNAP ได้ลบ backdoor account ใน Hybrid Backup Sync solution (CVE-2021-28799) ซึ่งถูกใช้ในการโจมตีร่วมกับช่องโหว่ SQL Injection ใน Multimedia Console และ Media Streaming Add-On (CVE-2020-36195) เพื่อติดตั้ง Qlocker ransomware ในอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ตเพื่อเข้ารหัสไฟล์ข้อมูล

ในเดือนมิถุนายน 2020 QNAP ได้แจ้งเตือนการโจมตีด้วย eCh0raix ransomware ที่ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของแอป Photo Station หลังจากนั้นหนึ่งปีต่อมา eCh0raix (หรือที่เรียกว่า QNAPCrypt) ได้กลับมาโจมตีอีกครั้งโดยใช้ประโยชน์จากช่องโหว่ที่พบ และบัญชีที่ใช้รหัสผ่านที่คาดเดาได้ง่าย

นอกจากนี้ QNAP ยังแจ้งเตือนลูกค้าในเดือนกันยายน 2020 เกี่ยวกับการโจมตีด้วย AgeLocker ransomware ที่กำหนดเป้าหมายไปที่อุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ต และใช้งาน Photo Station เวอร์ชันเก่า และมีช่องโหว่

อุปกรณ์ QNAP เป็นเป้าหมายยอดนิยมของกลุ่ม Hacker ที่ใช้ในการเรียกค่าไถ่ เนื่องจากอุปกรณ์เหล่านี้จัดเก็บไฟล์ส่วนบุคคลที่มีความสำคัญ ทำให้สามารถใช้เป็นเครื่องมือในการบังคับให้เหยื่อจ่ายค่าไถ่เพื่อถอดรหัสข้อมูลได้

ที่มา : bleepingcomputer 

CERT India รายงานช่องโหว่ในผลิตภัณฑ์ QNAP หลายรายการ

เมื่อไม่นานมานี้ CERT-In (Indian Computer Emergency Response Team) ได้ออกคำแนะนำเกี่ยวกับช่องโหว่หลายรายการในผลิตภัณฑ์ QNAP ต่าง ๆ

QNAP เป็นที่รู้จักในด้านระบบ Network-Attached Storage (NAS) ที่ใช้กันอย่างแพร่หลายในองกรค์ต่าง ๆ ช่องโหว่เหล่านี้ส่งผลกระทบหลักต่อระบบปฏิบัติการ QTS และ QuTS Hero ซึ่งเป็นส่วนสำคัญของ QNAP

(more…)

QNAP เพิ่มการป้องกัน ransomware บน NAS ให้กับ QTS เวอร์ชันล่าสุด

QNAP เพิ่มการป้องกัน ransomware บน NAS ให้กับ QTS เวอร์ชันล่าสุด

QNAP ผู้จำหน่ายฮาร์ดแวร์ของไต้หวัน ได้เพิ่ม Security Center ที่มีความสามารถในการป้องกัน ransomware ลงในระบบปฏิบัติการ QTS เวอร์ชันล่าสุดสำหรับอุปกรณ์ network-attached storage (NAS)

(more…)

พบช่องโหว่ใหม่ใน QNAP และ Kyocera Device Manager

มีรายงานช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ Device Manager ของ Kyocera ซึ่งอาจถูกนำมาใช้โดยผู้ไม่หวังดีเพื่อดำเนินกิจกรรมที่เป็นอันตรายบนระบบที่มีช่องโหว่

ช่องโหว่นี้ทำให้ผู้โจมตีสามารถใช้งาน SMB share เพื่อส่งข้อมูล hashed credentials ของ Active Directory หากไม่ได้มีการเปิดใช้งาน Policy "Restrict NTLM: Outgoing NTLM traffic to remote servers"

ช่องโหว่มีหมายเลข CVE-2023-50916 โดยคำแนะนำจาก Kyocera ที่เผยแพร่เมื่อปลายเดือนที่แล้วระบุว่า เป็นช่องโหว่ path traversal ที่ช่วยให้ผู้โจมตีสามารถดักจับ และเปลี่ยนแปลงเส้นทางในเครื่องที่ชี้ไปยังตำแหน่งสำรองของฐานข้อมูล ตามรูปแบบ universal naming convention (UNC) ซึ่งจะทำให้เว็บแอปพลิเคชันพยายาม authenticate กับ UNC path ปลอม ส่งผลให้เกิดการเข้าถึงบัญชีของลูกค้า และการโจรกรรมข้อมูลโดยไม่ได้รับอนุญาต ขึ้นอยู่กับการกำหนดค่าที่อาจถูกนำไปใช้ในการโจมตีแบบ NTLM relay attacks

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วใน Kyocera Device Manager เวอร์ชัน 3.1.1213.0

QNAP เผยแพร่การแก้ไขช่องโหว่หลายรายการ

รายงานดังกล่าวเกิดขึ้นหลังจากที่ QNAP เปิดตัวแพตซ์แก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ QTS และ QuTS hero, QuMagie, Netatalk และ Video Station

ช่องโหว่หมายเลข CVE-2023-39296 ซึ่งเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอก override แอตทริบิวต์ที่มีอยู่ด้วย incompatible แอตทริบิวต์ ซึ่งอาจทำให้ระบบล่มได้

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในเวอร์ชัน QTS 5.1.3.2578 build 20231110 และ QuTS hero h5.1.3.2578 build 20231110

คำอธิบายของช่องโหว่อื่น ๆ ที่มีดังนี้

CVE-2023-47559 - ช่องโหว่ cross-site scripting (XSS) ใน QuMagie ที่อาจทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถแทรกคำสั่งที่เป็นอันตรายผ่านเครือข่ายได้ (สำหรับ QuMagie 2.2.1 และเวอร์ชันใหม่กว่า)
CVE-2023-47560 - ช่องโหว่การแทรกคำสั่งของระบบปฏิบัติการใน QuMagie ที่อาจทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถรันคำสั่งผ่านเครือข่ายได้ (สำหรับ QuMagie 2.2.1 และเวอร์ชันใหม่กว่า)
CVE-2023-41287 - ช่องโหว่ SQL injection ใน Video Station ที่อาจทำให้ผู้ใช้สามารถแทรกคำสั่งที่เป็นอันตรายผ่านเครือข่ายได้ (สำหรับ Video Station 5.7.2 และเวอร์ชันใหม่กว่า)
CVE-2023-41288 - ช่องโหว่ command injection ของระบบปฏิบัติการใน Video Station ที่อาจทำให้ผู้ใช้สามารถรันคำสั่งผ่านเครือข่ายได้ (สำหรับ Video Station 5.7.2 และเวอร์ชันใหม่กว่า)
CVE-2022-43634 - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนใน Netatalk ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้โดยที่ไม่ได้รับอนุญาต (สำหรับ QTS 5.1.3.2578 build 20231110 และ QuTS hero h5.1.3.2578 build 20231110)
แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตี แต่แนะนำให้ผู้ใช้งานดำเนินการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น

ที่มา : thehackernews

QNAP แจ้งเตือนลูกค้ารีบอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ของ Linux Sudo ในอุปกรณ์ NAS

QNAP ผู้จำหน่ายฮาร์ดแวร์ด้านการสำรองข้อมูลของไต้หวัน ได้แจ้งเตือนไปยังผู้ใช้งานให้รีบทำการอัปเดตแพตซ์ด้านความปลอดภัยในอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย Network-Attached Storage ที่ใช้งานบนระบบ Linux เพื่อป้องกันช่องโหว่การยกระดับสิทธิ์ Sudo ที่มีระดับความรุนแรงสูง

CVE-2023-22809 (คะแนน CVSS 7.8/10 ระดับความรุนแรงสูง) เป็นช่องโหว่การ bypass sudoers policy ใน Sudo เวอร์ชัน 1.9.12p1 เมื่อใช้ sudoedit ทำให้สามารถเพิ่มระดับสิทธิ์โดยการแก้ไขไฟล์ที่ไม่ได้รับอนุญาต โดยการเพิ่ม arbitrary entries ลงในรายการไฟล์ที่ต้องดำเนินการ ซึ่งส่งผลกระทบต่ออุปกรณ์ที่ใช้ Sudo เวอร์ชัน 1.8.0 ถึง 1.9.12p1 รวมไปถึงระบบปฏิบัติการ NAS ของ QTS, QuTS Hero, QuTScloud และ QVP (QVR Pro)

การป้องกัน

ทำการอัปเดตเพื่อแก้ไขช่องโหว่โดยทันทีจาก QNAP โดยทำการเลือกประเภทผลิตภัณฑ์ และรุ่นของอุปกรณ์
หากต้องการอัปเดต QTS, QuTS Hero หรือ QuTScloud ผู้ใช้งานต้องคลิกตัวเลือก "Check for Update" ในส่วน "Live Update" หลังจากเข้าสู่ระบบในฐานะผู้ดูแลระบบและไปที่ Control Panel > System > Firmware Update

QNAP NAS ตกเป็นเป้าหมายในการโจมตีมาอย่างต่อเนื่อง อย่างในกรณีล่าสุดที่พบแคมเปญการโจมตีของ DeadBolt และ eCh0raix ransomware ที่มีการใช้ช่องโหว่ของ QNAP NAS เพื่อเข้ารหัสข้อมูลบนอุปกรณ์ QNAP NAS ที่เข้าถึงได้จากอินเทอร์เน็ต

ที่มา : bleepingcomputer

พบอุปกรณ์ QNAP ที่มีช่องโหว่ระดับ Critical กว่า 29,000 เครื่อง ยังไม่ได้อัปเดตเพื่อปิดช่องโหว่

หลังจากที่ QNAP บริษัทด้านอุปกรณ์สำรองข้อมูลได้เผยแพร่อัปเดตเพื่อแก้ไขช่องโหว่ระดับ Critical บนอุปกรณ์เก็บสำรองข้อมูลที่เชื่อมต่อกับเครือข่าย Network-Attached Storage (NAS) ซึ่งอาจนำไปสู่การโจมตี และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)