ผู้เชี่ยวชาญเปิดเผยช่องโหว่บน QNAP NAS คาดกระทบอุปกรณ์กว่า 450,000 ตัว แนะผู้ใช้เร่งอัปเดต

Henry Huang ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยชาวไต้หวันได้เปิดเผยช่องโหว่ 4 รายการ โดย 3 รายการเกิดขึ้นกับแอปพลิเคชัน Photo Station บนอุปกรณ์ QNAP โดยส่วนใหญ่จะมีการติดตั้งแอปนี้มากับอุปกรณ์แล้ว ทั้งนี้เชื่อว่าจะมีอุปกรณ์ที่ได้รับผลกระทบกว่า 450,000 ตัวจากการค้นหาด้วย Shodan

Credit: ShutterStock.com

ช่องโหว่ 3 จาก 4 รายการ ส่งผลกระทบต่อ Photo Station มีดังนี้ CVE-2019-7192, CVE-2019-7194 และ CVE-2019-7195 โดยสามารถใช้ร่วมกันเพื่อส่งผลกระทบให้เกิดการ Bypass Authentication, ลอบใส่โค้ดอันตรายใน PHP Session ของแอป และสามารถติดตั้ง Web Shell ได้ตามลำดับ นอกจากนี้ด้วยความที่ Photo Station มีการใช้สิทธิ์ระดับ Root ดังนั้นผู้โจมตีจะสามารถใช้ช่องโหว่เพื่อเข้ายึดอุปกรณ์ได้

ช่องโหว่ CVE-2019-7193 เป็นอีกหนึ่งช่องโหว่ที่เกิดขึ้นในแอป QTS File Manager อย่างไรก็ดีช่องโหว่ทั้งหมดได้ถูกแพตช์แล้วตั้งแต่เมื่อพฤศจิกายนปีก่อน ดังนั้นหลังการเปิดเผยแล้วเช่นนี้ก็ควรเข้าไปอัปเดตให้เรียบร้อยนะครับเพราะเป็นช่องโหว่ร้ายแรงและอาจถูกใช้งานได้

ที่มา :  https://www.zdnet.com/article/hundreds-of-thousands-of-qnap-devices-vulnerable-to-remote-takeover-attacks/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้