TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
QNAP ปล่อยแพตช์แก้ไขช่องโหว่ Zero-day 7 รายการที่นักวิจัยด้านความปลอดภัยใช้ในการแฮกอุปกรณ์ Network-attached Storage (NAS) ระหว่างการแข่งขัน Pwn2Own Ireland 2025
ช่องโหว่ที่พบส่งผลกระทบต่อระบบปฏิบัติการ QTS และ QuTS hero ของ QNAP (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849) รวมถึงซอฟต์แวร์สำคัญหลายตัว ได้แก่ Hyper Data Protector (CVE-2025-59389), Malware Remover (CVE-2025-11837) และ HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842) โดยช่องโหว่เหล่านี้ถูกค้นพบและสาธิตในงาน Pwn2Own โดยทีมนักวิจัยชั้นนำ อาทิ Summoning Team, DEVCORE, Team DDOS และ CyCraft Technology
QNAP ได้ออกแพตช์สำหรับช่องโหว่ทั้งหมดแล้ว โดยผู้ใช้งานควรอัปเดตซอฟต์แวร์ไปยังเวอร์ชันล่าสุด ได้แก่ Hyper Data Protector 2.2.4.1 หรือใหม่กว่า, Malware Remover 6.6.8.20251023 หรือใหม่กว่า, HBS 3 Hybrid Backup Sync 26.2.0.938 หรือใหม่กว่า, QTS 5.2.7.3297 build 20251024 หรือใหม่กว่า และ QuTS hero h5.2.7.3297 build 20251024 หรือ h5.3.1.3292 build 20251024 หรือใหม่กว่า สำหรับการอัปเดตระบบปฏิบัติการ ผู้ดูแลระบบสามารถเข้าสู่ Control Panel > System > Firmware Update แล้วคลิก “Check for Update” ส่วนแอปพลิเคชันที่มีช่องโหว่ให้เข้าไปที่ App Center ค้นหาชื่อแอปที่ต้องการอัปเดตและคลิกปุ่ม “Update”
นอกจากนี้ QNAP ยังแนะนำให้ผู้ใช้งานเปลี่ยนรหัสผ่านทั้งหมดเพื่อเพิ่มความปลอดภัย และควรอัปเดตระบบอย่างสม่ำเสมอเพื่อป้องกันช่องโหว่ที่อาจเกิดขึ้นในอนาคต ทั้งนี้ในวันเดียวกัน QNAP ยังปล่อย QuMagie 2.7.0 ที่มีแพตช์สำหรับช่องโหว่ SQL Injection ระดับ Critical (CVE-2025-52425) ซึ่งอาจทำให้ผู้โจมตีสามารถรันคำสั่งหรือโค้ดบนอุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล
