Ngày 31 tháng 1 năm 2023Ravie LakshmananBảo mật dữ liệu / Lỗ hổng bảo mật
Công ty Đài Loan QNAP đã phát hành các bản cập nhật để khắc phục lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các thiết bị lưu trữ gắn mạng (NAS) có thể dẫn đến việc tiêm mã tùy ý.
Được theo dõi dưới dạng CVE-2022-27596, lỗ hổng được xếp hạng 9,8 trên thang điểm tối đa 10 trên thang điểm CVSS. Nó ảnh hưởng đến QTS 5.0.1 và QuTS hero h5.0.1.
“Nếu bị khai thác, lỗ hổng này cho phép kẻ tấn công từ xa tiêm mã độc,” QNAP cho biết trong một khuyến cáo được công bố hôm thứ Hai.
Các chi tiết kỹ thuật chính xác xung quanh lỗ hổng vẫn chưa rõ ràng, nhưng Cơ sở dữ liệu về lỗ hổng quốc gia của NIST (NVD) đã phân loại nó là lỗ hổng SQL injection.
Điều này có nghĩa là kẻ tấn công có thể gửi các truy vấn SQL được chế tạo đặc biệt sao cho chúng có thể được vũ khí hóa để vượt qua các biện pháp kiểm soát bảo mật và truy cập hoặc thay đổi thông tin có giá trị.
Theo MITRE: “Giống như có thể đọc thông tin nhạy cảm, cũng có thể thực hiện các thay đổi hoặc thậm chí xóa thông tin này bằng một cuộc tấn công SQL injection”.
Lỗ hổng bảo mật đã được xử lý trong các phiên bản QTS 5.0.1.2234 build 20221201 trở lên, cũng như QuTS hero h5.0.1.2248 build 20221215 trở lên.
Các lỗ hổng zero-day trong các thiết bị QNAP bị lộ đã được các tác nhân ransomware DeadBolt sử dụng để xâm phạm các mạng mục tiêu, do đó cần phải cập nhật lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.
Để áp dụng các bản cập nhật, người dùng nên đăng nhập vào QTS hoặc QuTS hero với tư cách quản trị viên, điều hướng đến Bảng điều khiển > Hệ thống > Cập nhật chương trình cơ sở và chọn “Kiểm tra cập nhật” trong phần “Cập nhật trực tiếp”.
