Nhà sản xuất thiết bị lưu trữ gắn mạng (NAS) QNAP hôm thứ Tư cho biết họ đang làm việc để cập nhật hệ điều hành QTS và QuTS sau khi Netatalk vào tháng trước đã phát hành các bản vá để chứa bảy lỗi bảo mật trong phần mềm của mình.
Netatalk là một triển khai mã nguồn mở của Apple Filing Protocol (AFP), cho phép các hệ điều hành giống Unix đóng vai trò là máy chủ tệp cho máy tính macOS của Apple.
Vào ngày 22 tháng 3 năm 2022, các nhà bảo trì của nó đã phát hành phiên bản 3.1.13 của phần mềm để giải quyết các vấn đề bảo mật lớn – CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022- 23124, CVE-2022-23125 và CVE-2022-0194 – có thể được khai thác để thực hiện mã tùy ý.
“Lỗ hổng này [CVE-2022-23121] Có thể khai thác từ xa và không cần xác thực “, các nhà nghiên cứu của NCC Group lưu ý vào tháng trước.” Nó cho phép kẻ tấn công thực thi mã từ xa với tư cách là người dùng ‘không ai cả' trên NAS. Người dùng này có thể truy cập các chia sẻ riêng tư thường yêu cầu xác thực. “
QNAP lưu ý rằng các lỗ hổng Netatalk ảnh hưởng đến các phiên bản hệ điều hành sau:
QTS 5.0.x trở lên QTS 4.5.4 trở lên QTS 4.3.6 trở lên QTS 4.3.4 trở lên QTS 4.3.3 trở lên QTS 4.2.6 trở lên QuTS hero h5.0.x trở lên QuTS hero h4.5.4 trở lên và QuTScloud c5.0.x
Cho đến khi có bản cập nhật, công ty Đài Loan khuyến nghị người dùng tắt AFP. Các lỗ hổng đã được vá cho đến nay trong QTS 4.5.4.2012 bản dựng 20220419 trở lên.
Tiết lộ được đưa ra chưa đầy một tuần sau khi QNAP cho biết họ đang điều tra dòng sản phẩm của mình để tìm tác động tiềm ẩn phát sinh từ hai lỗ hổng bảo mật đã được giải quyết trong máy chủ Apache HTTP vào tháng trước.
.
