Lỗ hổng nghiêm trọng trong thiết bị NAS của QNAP cho phép thực thi mã từ xa

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Lỗ hổng nghiêm trọng trong thiết bị NAS của QNAP cho phép thực thi mã từ xa
QNAP đã phát hành các bản cập nhật an ninh để giải quyết hai lỗ hổng nghiêm trọng trong các thiết bị lưu trữ mạng (NAS) có thể cho phép kẻ tấn công thực thi mã từ xa. Các lỗ hổng được theo dõi là CVE-2023-23368 và CVE-2023-23369, ảnh hưởng đến các phiên bản phần mềm bổ trợ QTS, QuTS hero, QuTScloud, Multimedia Console và Media Streaming.

QNAP-headpic.jpg

CVE-2023-23368 (điểm CVSS: 9,8)

Đây là lỗ hổng chèn lệnh hệ điều hành ảnh hưởng đến QTS 5.0.x và 4.5.x; QuTS hero h5.0.x, h4.5.x và các phiên bản QuTScloud c5.0.1. Nếu bị khai thác, lỗ hổng này có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên thiết bị.

QNAP khuyến nghị người dùng nên nâng cấp lên các phiên bản sau để đảm bảo an toàn:
  • QTS 5.0.1.2376 bản dựng 20230421 trở lên
  • QTS 4.5.4.2374 bản dựng 20230416 trở lên
  • QuTS hero h5.0.1.2376 bản dựng 20230421 trở lên
  • QuTS hero h4.5.4.2374 bản dựng 20230417 trở lên
  • QuTScloud c5.0.1.2374 trở lên

CVE-2023-23369 (điểm CVSS: 9.0)

Lỗ hổng này cũng là lỗi chèn lệnh của hệ điều hành, nhưng ảnh hưởng đến các phiên bản QTS 5.1.x, 4.3.6, 4.3.4, 4.3.3 và 4.2.x, cũng như Multimedia Console 2.1.x, 1.4 .x và phần mở rộng Media Streaming 500.1.x, 500.0.x. Khai thác thành công, lỗ hổng này cũng cho phép kẻ tấn công thực thi các lệnh tùy ý trên thiết bị bị ảnh hưởng.

Hiện hãng đã cập nhật bản vá cho lỗ hổng CVE-2023-23369, cụ thể:
  • QTS 5.1.0.2399 bản dựng 20230515 trở lên
  • QTS 4.3.6.2441 bản dựng 20230621 trở lên
  • QTS 4.3.4.2451 bản dựng 20230621 trở lên
  • QTS 4.3.3.2420 bản dựng 20230621 trở lên
  • QTS 4.2.6 bản dựng 20230621 trở lên
  • Multimedia Console 2.1.2 (2023/05/04) trở lên
  • Multimedia Console 1.4.8 (2023/05/05) trở lên
  • Media Streaming add-on 500.1.1.2 (2023/06/12)trở lên
  • Media Streaming add-on 500.0.0.11 (2023/06/16) trở lên
QNAP nêu rõ rằng chưa có bằng chứng nào về việc các lỗ hổng này đang bị khai thác trong thực tế. Điều quan trọng là người dùng phải cập nhật chương trình cơ sở NAS QNAP lên phiên bản mới nhất càng sớm càng tốt để bảo vệ hệ thống khỏi những lỗ hổng này.

Nguồn: Security Online
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2023-23368 cve-2023-23369 qnap
Bên trên