شرکت QNAP چند آسیب پذیری در سیستم های NAS خود را افشا کرد، این آسیب پذیری ها به مهاجمان امکان کنترل دستگاههای تحت تاثیر را میدهد.
آسیب پذیری های مذکور بر نسخه های مختلف سیستم عامل های QNAP و اپلیکیشنهایی مثل QTS, QuTS hero, QuTScloud و myQNAPcloud اثر می گذارد.
جزییات آسیب پذیری ها
CVE-2024-21899: Improper Authentication Vulnerability
این آسیب پذیری حیاتی به کاربران احراز هویت نشده امکان صدمه زدن به سیستم امنیتی از طریق شبکه را میدهد. با بهره برداری از این آسیب پذیری مهاجم می تواند مکانیزم های احراز هویت را دور زده و به سیستم دسترسی یابد.
CVE-2024-21900: Command Injection Vulnerability
این آسیب پذیری به مهاجم بدون احراز هویت امکان اجرای دستورات دلخواه روی سیستم را داده و می تواند مجوزهای دسترسی خود را ارتقا داده و یا عملیات مخرب روی دستگاهها انجام دهند.
CVE-2024-21901: SQL Injection Vulnerability
یک مسئله نگرانکننده برای مدیران سیستم این است که این آسیبپذیری تزریق SQL امکان تزریق کد SQL مخرب را به سیستم میدهد. این موضوع می تواند منجر به دستکاری یا سرقت داده ها شود و امنیت و یکپارچگی داده های ذخیره شده در NAS را به خطر بیندازد.
CVE-2024-27124: OS Command Injection Vulnerability
این آسیب پذیری، یک آسیب پذیری تزریق دستور OS است که در صورت بهره برداری از آن مهاجم می تواند دستورات دلخواه خود را در شبکه اجرا کند. با چنین نقضی می توان کل سیستم را به خطر انداخته، داده ها را به سرقت برده و یا به شبکه نفوذ پیدا کرد. QNAP هنوز وصله ای برای این آسیب پذیری منتشر نکرده است.
CVE-2024-32764: Missing Authentication for Critical Function
این آسیب پذیری، یک حفره امنیتی حیاتی در عملیات بررسی احراز هویت ایجاد می کند. مهاجم می تواند از طریق این حفره دسترسی بدون احراز هویت به شبکه داشته و کنترل سیستم را به دست آورد. QNAP در حال کار روی این آسیب پذیری است. لازم است بلافاصله بعد از انتشار وصله، کاربران فریم ور NAS را آپدیت نمایند.
CVE-2024-32766: OS Command Injection Vulnerability
مانند دو آسیب پذیری CVE-2024-27124و CVE-2024-32766 این آسیب پذیری نیز تزریق دستور OS بوده و به مهاجم امکان اجرای دستورات دلخواه در شبکه را میدهد که می تواند منجر به دسترسی و کنترل کل دستگاههای NAS آسیب پذیر شود. QNAP در حال کار روی این آسیب پذیری است. لازم است بلافاصله بعد از انتشار وصله، کاربران نسبت به نصب آن اقدام کنند.
دستگاههای آسیب پذیر
• QTS 5.1.x: Fixed in QTS 5.1.3.2578 build 20231110 and later.
• QTS 4.5.x: Fixed in QTS 4.5.4.2627 build 20231225 and later.
• QuTS hero h5.1.x: Fixed in QuTS hero h5.1.3.2578 build 20231110 and later.
• QuTS hero h4.5.x: Fixed in QuTS hero h4.5.4.2626 build 20231225 and later.
• QuTScloud c5.x: Fixed in QuTScloud c5.1.5.2651 and later.
• myQNAPcloud 1.0.x: Fixed in myQNAPcloud 1.0.52 (2023/11/24) and later.
QNAP به کاربران خود هشدار میدهد که حتما از آخرین نسخه های منتشر شده استفاده کنند.
منبع: