พบช่องโหว่ Cross Site Scripting บน D-Link NAS 7 รุ่น แนะอัปเดต Patch ด่วน

พบช่องโหว่บน D-Link NAS 7 รุ่น ยังมี Patch ออกมาไม่ครบ

Credit: Ignatov/ShutterStock
Credit: Ignatov/ShutterStock

Benjamin Daniel Mussler นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ Cross Site Scripting (XSS) บน D-Link NAS จำนวน 7 รุ่นซึ่งสามารถถูกเจาะได้โดยไม่ต้องหลอกให้ผู้ใช้งานติดตั้ง Malware หรือคลิกลิงค์ใดๆ เลย และทำให้ผู้โจมตีสามารถเข้าถึงการเขียนและอ่านข้อมูลบน NAS ได้อย่างเต็มที่ โดย NAS ทั้ง 7 รุ่นมีดังนี้

Device / Model
FW Version
FW Date
DNS-320 rev A
2.05b8
28/07/2014
DNS-320 rev B
1.02
02/07/2014
DNS-320L
1.06b03
28/07/2015
DNS-325
1.05b3
02/07/2014
DNS-327L
1.06b02
02/09/2014
DNS-340L
1.04b01
11/02/2016
DNS-345
1.04b2
17/12/2014

ดังนั้นใครใช้ D-Link NAS และมี Firmware รุ่นดังกล่าวหรือต่ำกว่า ก็ควรหารุ่นที่ใหม่กว่ามาอัปเดตทันทีครับ โดยแหล่งข่าวระบุว่าปัจจุบันทาง D-Link ยังออก Patch มาไม่ครบสำหรับทุกรุ่น ก็ต้องติดตามกันไปดีๆ ครับ

สำหรับรายละเอียดของช่องโหว่และวิธีลดความเสี่ยงในการถูกโจมตีฉบับเต็มสามารถอ่านได้ที่ http://b.fl7.de/2016/08/d-link-nas-dns-xss-via-smb.html เลยนะครับ

ที่มา: http://www.scmagazine.com/researcher-finds-stored-xss-flaw-in-several-d-link-nas-devices/article/519252/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] เชื่อมต่อ ERP ในธุรกิจของคุณอย่างครบวงจร ด้วย Infor LN และ ระบบ Barcode System

Infor ผู้พัฒนาซอฟต์แวร์ ERP LN – ได้รวบรวม Business Solutions เพื่อเชื่อมต่อสายการผลิตและธุรกิจอย่างครบวงจร ตอบโจทย์อุตสาหกรรม ที่ต้องการ New Technology ควบคู่ไปกับการเพิ่มผลผลิต ลดต้นทุน …

พบมัลแวร์บนแอนดรอยด์ลอบขโมยโค้ด 2FA จาก Google Authenticator

ผู้เชี่ยวชาญจาก ThreatFabric ได้ออกเตือนว่าเริ่มพบ Banking Trojan ที่มีความสามารถในการขโมยโค้ด 2FA ที่ได้จาก Google Authenticator บนแอนดรอยด์