QNAP ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ร้ายแรง 3 รายการ พร้อมปรับปรุงความปลอดภัยให้ผลิตภัณฑ์หลายรุ่น รวมถึงระบบ NAS และ Router ยอดนิยม
QNAP ได้ออกอัปเดตความปลอดภัยในช่วงสุดสัปดาห์ที่ผ่านมา เพื่อแก้ไขช่องโหว่หลายรายการ โดยเฉพาะช่องโหว่ร้ายแรง 3 รายการที่ผู้ใช้งานควรรีบอัปเดตโดยเร็วที่สุด โดยเริ่มจาก QNAP Notes Station 3 ซึ่งเป็นแอปพลิเคชันสำหรับจดบันทึกและทำงานร่วมกันบนระบบ NAS พบช่องโหว่สำคัญ 2 รายการ ได้แก่ CVE-2024-38643 ที่มีความรุนแรงระดับ 9.3 ทำให้ผู้โจมตีสามารถเข้าถึงระบบและเรียกใช้ฟังก์ชันสำคัญโดยไม่ต้องยืนยันตัวตน และ CVE-2024-38645 ที่อาจถูกใช้เพื่อส่งคำสั่งที่เป็นอันตรายผ่าน Server-side Request Forgery
นอกจากนี้ยังพบช่องโหว่ร้ายแรงใน QuRouter ซึ่งเป็นผลิตภัณฑ์ Router ของ QNAP รุ่น 2.4.x คือ CVE-2024-48860 ที่มีคะแนนความรุนแรงถึง 9.5 ทำให้ผู้โจมตีสามารถทำ Remote Code Execution ได้ โดย QNAP ได้แก้ไขช่องโหว่นี้แล้วใน QuRouter เวอร์ชัน 2.4.3.106 พร้อมกับช่องโหว่ CVE-2024-48861 ที่มีความรุนแรงน้อยกว่า QNAP ยังได้ออกอัปเดตสำหรับผลิตภัณฑ์อื่นๆ เพิ่มเติม เช่น QNAP AI Core ที่แก้ไขช่องโหว่ CVE-2024-38647 ที่อาจทำให้ผู้โจมตีเข้าถึงข้อมูลสำคัญได้ QuLog Center แก้ไขช่องโหว่ CVE-2024-48862 ที่อาจทำให้ผู้โจมตีท่องดูไฟล์ในระบบได้ และระบบปฏิบัติการ QTS และ QuTS hero ที่แก้ไขช่องโหว่ CVE-2024-50396 และ CVE-2024-50397 ซึ่งมีปัญหาเรื่องการจัดการ Format String จากภายนอก
ผู้ใช้งานผลิตภัณฑ์ QNAP ควรอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด โดยมีรายละเอียดเวอร์ชันที่ได้รับการแก้ไขดังนี้:
- Notes Station 3 เวอร์ชัน 3.9.7 ขึ้นไป
- QuRouter เวอร์ชัน 2.4.3.106
- QNAP AI Core เวอร์ชัน 3.4.1 ขึ้นไป
- QuLog Center เวอร์ชัน 1.7.0.831 และ 1.8.0.888
- QTS เวอร์ชัน 5.2.1.2930 และ QuTS hero เวอร์ชัน h5.2.1.2929
QNAP ยังแนะนำเพิ่มเติมว่า ไม่ควรเชื่อมต่ออุปกรณ์โดยตรงกับอินเทอร์เน็ต แต่ควรติดตั้งไว้หลัง VPN เพื่อป้องกันการโจมตีจากระยะไกลที่อาจเกิดขึ้นได้