QNAP ออกแพตช์แก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนำมาใช้ในการโจมตีในงาน Pwn2Own เพื่อยกระดับสิทธิ์เป็น root

QNAP ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ zero-day ที่สอง ซึ่งถูกนักวิจัยด้านความปลอดภัยนำไปใช้โจมตีในการแข่งขันแฮ็ก Pwn2Own เมื่อสัปดาห์ที่ผ่านมา

ช่องโหว่ระดับ Critical นี้เป็นช่องโหว่ SQL injection (SQLi) ที่มีหมายเลข CVE-2024-50387 เป็นช่องโหว่ใน SMB service ของ QNAP และได้รับการแก้ไขแล้วในเวอร์ชัน 4.15.002 ขึ้นไป และ h4.15.002 ขึ้นไป

ช่องโหว่ zero-day นี้ได้รับการแก้ไขไปแล้วหนึ่งสัปดาห์หลังจากที่ YingMuo (ซึ่งทำงานร่วมกับโครงการฝึกงาน DEVCORE) สามารถเข้าถึงสิทธิ์ root และควบคุมอุปกรณ์ QNAP TS-464 NAS ได้ในงาน Pwn2Own Ireland 2024 (more…)