-
09/04/2020
-
93
-
600 bài viết
Lỗ hổng nghiêm trọng trong thiết bị NAS của QNAP cho phép thực thi mã từ xa
QNAP đã phát hành các bản cập nhật an ninh để giải quyết hai lỗ hổng nghiêm trọng trong các thiết bị lưu trữ mạng (NAS) có thể cho phép kẻ tấn công thực thi mã từ xa. Các lỗ hổng được theo dõi là CVE-2023-23368 và CVE-2023-23369, ảnh hưởng đến các phiên bản phần mềm bổ trợ QTS, QuTS hero, QuTScloud, Multimedia Console và Media Streaming.
QNAP khuyến nghị người dùng nên nâng cấp lên các phiên bản sau để đảm bảo an toàn:
Hiện hãng đã cập nhật bản vá cho lỗ hổng CVE-2023-23369, cụ thể:
CVE-2023-23368 (điểm CVSS: 9,8)
Đây là lỗ hổng chèn lệnh hệ điều hành ảnh hưởng đến QTS 5.0.x và 4.5.x; QuTS hero h5.0.x, h4.5.x và các phiên bản QuTScloud c5.0.1. Nếu bị khai thác, lỗ hổng này có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên thiết bị.QNAP khuyến nghị người dùng nên nâng cấp lên các phiên bản sau để đảm bảo an toàn:
- QTS 5.0.1.2376 bản dựng 20230421 trở lên
- QTS 4.5.4.2374 bản dựng 20230416 trở lên
- QuTS hero h5.0.1.2376 bản dựng 20230421 trở lên
- QuTS hero h4.5.4.2374 bản dựng 20230417 trở lên
- QuTScloud c5.0.1.2374 trở lên
CVE-2023-23369 (điểm CVSS: 9.0)
Lỗ hổng này cũng là lỗi chèn lệnh của hệ điều hành, nhưng ảnh hưởng đến các phiên bản QTS 5.1.x, 4.3.6, 4.3.4, 4.3.3 và 4.2.x, cũng như Multimedia Console 2.1.x, 1.4 .x và phần mở rộng Media Streaming 500.1.x, 500.0.x. Khai thác thành công, lỗ hổng này cũng cho phép kẻ tấn công thực thi các lệnh tùy ý trên thiết bị bị ảnh hưởng.Hiện hãng đã cập nhật bản vá cho lỗ hổng CVE-2023-23369, cụ thể:
- QTS 5.1.0.2399 bản dựng 20230515 trở lên
- QTS 4.3.6.2441 bản dựng 20230621 trở lên
- QTS 4.3.4.2451 bản dựng 20230621 trở lên
- QTS 4.3.3.2420 bản dựng 20230621 trở lên
- QTS 4.2.6 bản dựng 20230621 trở lên
- Multimedia Console 2.1.2 (2023/05/04) trở lên
- Multimedia Console 1.4.8 (2023/05/05) trở lên
- Media Streaming add-on 500.1.1.2 (2023/06/12)trở lên
- Media Streaming add-on 500.0.0.11 (2023/06/16) trở lên
Nguồn: Security Online