QNAP vá lỗ hổng cho phép kẻ tấn công chạy các lệnh độc hại từ xa

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
QNAP vá lỗ hổng cho phép kẻ tấn công chạy các lệnh độc hại từ xa
Nhà sản xuất NAS (network-attached storage) có trụ sở tại Đài Loan QNAP đã phát hành các bản vá bảo mật cho nhiều lỗ hổng có thể cho phép kẻ tấn công inject và thực thi lệnh từ xa trên các thiết bị NAS dễ bị tấn công.

upload_2021-10-6_20-47-48.png

Ba trong số các lỗi bảo mật được QNAP vá là các lỗ hổng bảo mật stored XSS có mức độ nghiêm trọng cao (được theo dõi là CVE-2021-34354, CVE-2021-34356 và CVE-2021-34355) ảnh hưởng đến các thiết bị chạy phần mềm Photo Station chưa được vá (phiên bản trước 5.4.10, 5.7.13 hoặc 6.0.18).

QNAP cũng đã vá một lỗ hổng stored XSS trong Image2PDF ảnh hưởng đến các thiết bị chạy các phiên bản phần mềm cũ hơn Image2PDF 2.1.5.

Các cuộc tấn công Stored XSS cho phép kẻ tấn công chèn những đoạn mã độc từ xa, lưu trữ trên các máy chủ được nhắm mục tiêu sau khi khai thác thành công.

Công ty cũng đã lỗ hổng command injection (CVE-2021-34352) ảnh hưởng đến một số thiết bị QNAP end-of-life (EOL) chạy phần mềm giám sát video QVR giúp kẻ tấn công chạy các lệnh tùy ý.

Khai thác lỗ hổng CVE-2021-34352 thành công có thể dẫn đến việc chiếm toàn quyền điều khiển các thiết bị NAS bị xâm nhập.

Ba lỗ hổng khac trong QVR cũng đã được vá vào hôm thứ Hai, được tiết lộ bởi QNAP trong một khuyến nghị bảo mật được xếp hạng với mức độ nghiêm trọng cao.

Hướng dẫn bảo mật thiết bị NAS của bạn

Do các thiết bị QNAP NAS đã phải hứng chịu hàng loạt cuộc tấn công liên tục trong những năm qua, khách hàng nên cập nhật ngay cả hai ứng dụng lên phiên bản mới nhất có sẵn càng sớm càng tốt.

Để cập nhật Photo Station hoặc Image2PDF lên phiên bản mới nhất trên NAS của bạn, hãy thực hiện theo các bước sau:
  1. Đăng nhập vào QTS hoặc QuTS hero với vai trò administrator.
  2. Mở App Center và click vào biểu tượng tìm kiếm
  3. Nhập "Photo Station" hoặc "Image2PDF" rồi nhấn ENTER. Ứng dụng xuất hiện trong kết quả tìm kiếm.
  4. Nhấp vào Update. Một thông báo xác nhận xuất hiện. Lưu ý: Nút Update không khả dụng nếu bạn đang sử dụng phiên bản mới nhất.
  5. Bấm OK. Ứng dụng được cập nhật.
Để cập nhật phần mềm giám sát QVR, hãy làm theo các bước sau:
  1. Đăng nhập vào QVR với vai trò administrator.
  2. Truy cập Control Panel > System Settings > Firmware Update.
  3. Mục Live Update, chọn Check for Update. QVR sẽ tải về và cập nhật phiên bản mới nhất.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2021-34354 cve-2021-34355 cve-2021-34356 nas qnap
Bên trên