December 6, 2024

QNAP แก้ไขข้อบกพร่องสำคัญในซอฟต์แวร์ NAS และเราเตอร์

QNAP ได้เปิดเผยข้อมูลความปลอดภัยเมื่อสุดสัปดาห์ที่ผ่านมา ซึ่งระบุถึงช่องโหว่หลายจุด รวมถึงข้อบกพร่องร้ายแรง 3 จุดซึ่งผู้ใช้ควรดำเนินการแก้ไขโดยเร็วที่สุด

เริ่มจาก QNAP Notes Station 3 ซึ่งเป็นแอปพลิเคชันจดบันทึกและทำงานร่วมกันที่ใช้ในระบบ NAS ของ QNAP โดยช่องโหว่ที่ส่งผลกระทบต่อแอปพลิเคชัน ได้แก่ CVE-2024-38643 มีคะแนน CVSS v4 : 9.3 ในระดับวิกฤติ ที่ทำให้ผู้โจมตีจากระยะไกลเข้าถึงโดยไม่ได้รับอนุญาตและเรียกใช้ฟังก์ชันระบบเฉพาะได้

ส่วนข้อบกพร่อง CVE-2024-38645 ทำให้ผู้โจมตีจากระยะไกลที่มีข้อมูลประจำตัวเพื่อยืนยันตัวตนสามารถส่งคำขอปลอมที่บิดเบือนพฤติกรรมด้านเซิร์ฟเวอร์ ซึ่งอาจเปิดเผยข้อมูลแอปพลิเคชันที่ละเอียดอ่อนได้

โดย QNAP ได้แก้ไขปัญหาเหล่านี้แล้วใน Notes Station 3 เวอร์ชัน 3.9.7 และแนะนำให้ผู้ใช้ทำการอัปเดตเป็นเวอร์ชันนี้หรือใหม่กว่าเพื่อลดความเสี่ยง

ยังมีช่องโหว่อีกสองประเด็นที่ระบุไว้ในเอกสารเดียวกัน คือ CVE-2024-38644 และ CVE-2024-38646 เป็นปัญหาการแทรกคำสั่งที่มีความรุนแรงสูง (คะแนน CVSS v4: 8.7, 8.4) และปัญหาการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาตซึ่งจำเป็นต้องมีการเข้าถึงในระดับผู้ใช้จึงจะใช้ประโยชน์ได้

อีกหนึ่งข้อข้อบกพร่องร้ายแรงในผลิตภัณฑ์เราเตอร์ที่ QNAP ดำเนินการแก้ไขแล้วคือ CVE-2024-48860 ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ QuRouter 2.4.x ข้อบกพร่องดังกล่าวได้รับคะแนน “ร้ายแรง” 9.5 ตาม CVSS v4 ซึ่งเป็นข้อบกพร่องในการแทรกคำสั่งของระบบปฏิบัติการที่อาจทำให้ผู้โจมตีจากระยะไกลสามารถดำเนินการคำสั่งบนระบบโฮสต์ได้

QNAP ยังได้แก้ไขปัญหาการแทรกคำสั่งที่ไม่ร้ายแรงเป็นอันดับสองที่เรียกว่า CVE-2024-48861 โดยปัญหาทั้งสองนี้ได้รับการแก้ไขใน QuRouter เวอร์ชัน 2.4.3.106 แล้ว

ที่มา : bleepingcomputer