QNAP แก้ไขช่องโหว่ร้ายแรงบน NAS และ Router หลายรายการ

QNAP ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ร้ายแรง 3 รายการ พร้อมปรับปรุงความปลอดภัยให้ผลิตภัณฑ์หลายรุ่น รวมถึงระบบ NAS และ Router ยอดนิยม

Credit: ShutterStock.com

QNAP ได้ออกอัปเดตความปลอดภัยในช่วงสุดสัปดาห์ที่ผ่านมา เพื่อแก้ไขช่องโหว่หลายรายการ โดยเฉพาะช่องโหว่ร้ายแรง 3 รายการที่ผู้ใช้งานควรรีบอัปเดตโดยเร็วที่สุด โดยเริ่มจาก QNAP Notes Station 3 ซึ่งเป็นแอปพลิเคชันสำหรับจดบันทึกและทำงานร่วมกันบนระบบ NAS พบช่องโหว่สำคัญ 2 รายการ ได้แก่ CVE-2024-38643 ที่มีความรุนแรงระดับ 9.3 ทำให้ผู้โจมตีสามารถเข้าถึงระบบและเรียกใช้ฟังก์ชันสำคัญโดยไม่ต้องยืนยันตัวตน และ CVE-2024-38645 ที่อาจถูกใช้เพื่อส่งคำสั่งที่เป็นอันตรายผ่าน Server-side Request Forgery

นอกจากนี้ยังพบช่องโหว่ร้ายแรงใน QuRouter ซึ่งเป็นผลิตภัณฑ์ Router ของ QNAP รุ่น 2.4.x คือ CVE-2024-48860 ที่มีคะแนนความรุนแรงถึง 9.5 ทำให้ผู้โจมตีสามารถทำ Remote Code Execution ได้ โดย QNAP ได้แก้ไขช่องโหว่นี้แล้วใน QuRouter เวอร์ชัน 2.4.3.106 พร้อมกับช่องโหว่ CVE-2024-48861 ที่มีความรุนแรงน้อยกว่า QNAP ยังได้ออกอัปเดตสำหรับผลิตภัณฑ์อื่นๆ เพิ่มเติม เช่น QNAP AI Core ที่แก้ไขช่องโหว่ CVE-2024-38647 ที่อาจทำให้ผู้โจมตีเข้าถึงข้อมูลสำคัญได้ QuLog Center แก้ไขช่องโหว่ CVE-2024-48862 ที่อาจทำให้ผู้โจมตีท่องดูไฟล์ในระบบได้ และระบบปฏิบัติการ QTS และ QuTS hero ที่แก้ไขช่องโหว่ CVE-2024-50396 และ CVE-2024-50397 ซึ่งมีปัญหาเรื่องการจัดการ Format String จากภายนอก

ผู้ใช้งานผลิตภัณฑ์ QNAP ควรอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด โดยมีรายละเอียดเวอร์ชันที่ได้รับการแก้ไขดังนี้:

  • Notes Station 3 เวอร์ชัน 3.9.7 ขึ้นไป
  • QuRouter เวอร์ชัน 2.4.3.106
  • QNAP AI Core เวอร์ชัน 3.4.1 ขึ้นไป
  • QuLog Center เวอร์ชัน 1.7.0.831 และ 1.8.0.888
  • QTS เวอร์ชัน 5.2.1.2930 และ QuTS hero เวอร์ชัน h5.2.1.2929

QNAP ยังแนะนำเพิ่มเติมว่า ไม่ควรเชื่อมต่ออุปกรณ์โดยตรงกับอินเทอร์เน็ต แต่ควรติดตั้งไว้หลัง VPN เพื่อป้องกันการโจมตีจากระยะไกลที่อาจเกิดขึ้นได้

ที่มา: https://www.bleepingcomputer.com/news/security/qnap-addresses-critical-flaws-across-nas-router-software/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

[Video Webinar] พลิกโฉมการตรวจจับ ป้องกัน และตอบโต้ภัยคุกคามอย่างครบวงจรด้วย Splunk และ Cisco

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Splunk & Cisco Webinar เรื่อง “พลิกโฉมการตรวจจับ ป้องกัน และตอบโต้ภัยคุกคามอย่างครบวงจรด้วย Splunk และ Cisco” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Google ทุ่มกว่าพันล้านดอลลาร์ให้ Anthropic คู่แข่ง OpenAI

มีรายงานจาก Financial Times ว่า Google ได้ลงทุนมากกว่า 1 พันล้านดอลลาร์ใน Anthropic โดยเพิ่มจากเดิมที่บริษัทได้สนับสนุนเงินทุนไปแล้วก่อนหน้านี้ 2 พันล้านดอลลาร์ และเพิ่มจากรายงานก่อนหน้านี้ว่า Anthropic กำลังระดมทุนอีก …