QNAP, nhà sản xuất thiết bị lưu trữ gắn mạng (NAS) của Đài Loan, hôm thứ Tư cho biết họ đang trong quá trình sửa chữa một lỗ hổng PHP ba năm tuổi nghiêm trọng có thể bị lạm dụng để thực thi mã từ xa.
“Một lỗ hổng đã được báo cáo là ảnh hưởng đến các phiên bản PHP 7.1.x dưới 7.1.33, 7.2.x dưới 7.2.24 và 7.3.x dưới 7.3.11 với cấu hình nginx không đúng”, nhà cung cấp phần cứng cho biết trong một lời khuyên. “Nếu bị khai thác, lỗ hổng cho phép kẻ tấn công có được quyền thực thi mã từ xa.”
Lỗ hổng bảo mật, được theo dõi là CVE-2019-11043, được xếp hạng 9,8 trên 10 về mức độ nghiêm trọng trên hệ thống chấm điểm lỗ hổng CVSS. Điều đó nói rằng, yêu cầu Nginx và php-fpm đang chạy trong các thiết bị sử dụng các phiên bản hệ điều hành QNAP sau:
QTS 5.0.x trở lên QTS 4.5.x trở lên QuTS hero h5.0.x trở lên QuTS hero h4.5.x trở lên QuTScloud c5.0.x trở lên
“Vì QTS, QuTS hero hoặc QuTScloud không được cài đặt nginx theo mặc định, QNAP NAS không bị ảnh hưởng bởi lỗ hổng này ở trạng thái mặc định”, công ty cho biết, đồng thời cho biết thêm rằng nó đã giảm thiểu sự cố trong phiên bản hệ điều hành QTS 5.0.1.2034 build 20220515 và QuTS hero h5.0.0.2069 xây dựng 20220614.
Cảnh báo được đưa ra một tuần sau khi QNAP tiết lộ rằng họ đang “điều tra kỹ lưỡng” một làn sóng khác của các cuộc tấn công ransomware DeadBolt nhắm vào các thiết bị QNAP NAS chạy các phiên bản QTS 4.x đã lỗi thời.
Bên cạnh việc thúc giục khách hàng nâng cấp lên phiên bản mới nhất của hệ điều hành QTS hoặc QuTS hero, nó cũng khuyến cáo rằng các thiết bị không được tiếp xúc với Internet.
Ngoài ra, QNAP đã khuyến cáo những khách hàng không thể tìm thấy thông báo tiền chuộc sau khi nâng cấp chương trình cơ sở để nhập khóa giải mã DeadBolt đã nhận và liên hệ với Bộ phận hỗ trợ QNAP để được hỗ trợ.
“Nếu NAS của bạn đã bị xâm phạm, hãy chụp ảnh màn hình của ghi chú tiền chuộc để giữ địa chỉ bitcoin, sau đó nâng cấp lên phiên bản phần sụn mới nhất và ứng dụng Malware Remover tích hợp sẵn sẽ tự động cách ly ghi chú tiền chuộc chiếm quyền điều khiển trang đăng nhập”. nó nói rằng.
.
