QNAP แก้ไขช่องโหว่ Zero-day ในซอฟต์แวร์ NAS Backup หลังถูกแฮกใน Pwn2Own

QNAP ออกแพตช์แก้ไขช่องโหว่ร้ายแรงใน HBS 3 Hybrid Backup Sync ที่ถูกค้นพบระหว่างการแข่งขัน Pwn2Own Ireland 2024

QNAP ออกแพตช์แก้ไขช่องโหว่ Zero-day ที่มีรหัส CVE-2024-50388 ซึ่งเป็นปัญหา OS command injection ใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.x โซลูชันสำหรับสำรองข้อมูลและกู้คืนระบบ โดยช่องโหว่นี้มีความรุนแรงระดับ Critical เนื่องจากทำให้ผู้โจมตีสามารถรันคำสั่งแบบ Remote ได้โดยไม่ต้องยืนยันตัวตน ซึ่งอาจนำไปสู่การควบคุมอุปกรณ์ NAS ได้อย่างสมบูรณ์

ช่องโหว่ดังกล่าวถูกค้นพบโดยทีมนักวิจัย Ha The Long และ Ha Anh Hoang จาก Viettel Cyber Security ในวันที่สามของการแข่งขัน Pwn2Own Ireland 2024 โดยทีมสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดและยกระดับสิทธิ์เป็นผู้ดูแลระบบบนอุปกรณ์ QNAP NAS รุ่น TS-464 ได้สำเร็จ แม้ว่าตามปกติบริษัทจะมีเวลา 90 วันในการแก้ไขช่องโหว่ที่ถูกค้นพบในการแข่งขัน แต่ QNAP ได้ออกแพตช์แก้ไขปัญหานี้ภายในเพียง 5 วัน โดยปล่อยอัปเดตเป็นเวอร์ชัน 25.1.1.673 ผู้ใช้งานสามารถอัปเดตผ่าน App Center บนระบบ QTS หรือ QuTS hero ได้ทันที

ที่ผ่านมา อุปกรณ์ QNAP NAS มักเป็นเป้าหมายของแรนซัมแวร์เนื่องจากมักใช้เก็บข้อมูลสำคัญขององค์กรและบุคคล โดยในปี 2021 เคยพบบัญชี backdoor ใน Hybrid Backup Sync (CVE-2021-28799) ที่ถูกใช้ร่วมกับช่องโหว่ SQL Injection ใน Multimedia Console เพื่อติดตั้งแรนซัมแวร์ Qlocker นอกจากนี้ยังเคยถูกโจมตีด้วยแรนซัมแวร์ eCh0raix ที่ใช้ช่องโหว่ในแอพพลิเคชัน Photo Station และการ brute-force รหัสผ่าน รวมถึงแรนซัมแวร์ AgeLocker ที่มุ่งเป้าโจมตีอุปกรณ์ที่เปิดให้เข้าถึงจากอินเทอร์เน็ตและใช้ Photo Station เวอร์ชันเก่าที่มีช่องโหว่

ที่มา: https://www.bleepingcomputer.com/news/security/qnap-fixes-nas-backup-software-zero-day-exploited-at-pwn2own/