พบช่องโหว่บน D-Link NAS 7 รุ่น ยังมี Patch ออกมาไม่ครบ

Benjamin Daniel Mussler นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ Cross Site Scripting (XSS) บน D-Link NAS จำนวน 7 รุ่นซึ่งสามารถถูกเจาะได้โดยไม่ต้องหลอกให้ผู้ใช้งานติดตั้ง Malware หรือคลิกลิงค์ใดๆ เลย และทำให้ผู้โจมตีสามารถเข้าถึงการเขียนและอ่านข้อมูลบน NAS ได้อย่างเต็มที่ โดย NAS ทั้ง 7 รุ่นมีดังนี้
Device / Model
|
FW Version
|
FW Date
|
DNS-320 rev A
|
2.05b8
|
28/07/2014
|
DNS-320 rev B
|
1.02
|
02/07/2014
|
DNS-320L
|
1.06b03
|
28/07/2015
|
DNS-325
|
1.05b3
|
02/07/2014
|
DNS-327L
|
1.06b02
|
02/09/2014
|
DNS-340L
|
1.04b01
|
11/02/2016
|
DNS-345
|
1.04b2
|
17/12/2014
|
ดังนั้นใครใช้ D-Link NAS และมี Firmware รุ่นดังกล่าวหรือต่ำกว่า ก็ควรหารุ่นที่ใหม่กว่ามาอัปเดตทันทีครับ โดยแหล่งข่าวระบุว่าปัจจุบันทาง D-Link ยังออก Patch มาไม่ครบสำหรับทุกรุ่น ก็ต้องติดตามกันไปดีๆ ครับ
สำหรับรายละเอียดของช่องโหว่และวิธีลดความเสี่ยงในการถูกโจมตีฉบับเต็มสามารถอ่านได้ที่ http://b.fl7.de/2016/08/d-link-nas-dns-xss-via-smb.html เลยนะครับ