เมื่อไม่นานมานี้ CERT-In (Indian Computer Emergency Response Team) ได้ออกคำแนะนำเกี่ยวกับช่องโหว่หลายรายการในผลิตภัณฑ์ QNAP ต่าง ๆ
QNAP เป็นที่รู้จักในด้านระบบ Network-Attached Storage (NAS) ที่ใช้กันอย่างแพร่หลายในองกรค์ต่าง ๆ ช่องโหว่เหล่านี้ส่งผลกระทบหลักต่อระบบปฏิบัติการ QTS และ QuTS Hero ซึ่งเป็นส่วนสำคัญของ QNAP
ผลิตภัณฑ์ QNAP ที่ได้รับผลกระทบ
- QTS 5.1.0.2823 และเวอร์ชันก่อนหน้า
- QTS hero h5.1.0.2823 และเวอร์ชันก่อนหน้า
- QTS 4.5.4.2790 และเวอร์ชันก่อนหน้า
- QTS hero h4.5.4.2790 และเวอร์ชันก่อนหน้า
- QuTS h5.2.0.2782 และเวอร์ชันก่อนหน้า
ช่องโหว่เหล่านี้สามารถถูกโจมตีได้จากระยะไกล เพื่อดำเนินกิจกรรมที่เป็นอันตรายได้หลากหลายรูปแบบ ด้วยจำนวน และขนาดของผู้ใช้ที่ได้รับผลกระทบ จึงมีความจำเป็นที่ต้องแก้ไขช่องโหว่นี้ทันที ไม่เช่นนั้นอาจนำไปสู่ผลกระทบดังนี้
- ผู้ไม่ประสงค์ดีสามารถดึงข้อมูลสำคัญที่เก็บไว้บนอุปกรณ์ NAS ที่ได้รับผลกระทบออกมาได้จากระยะไกล
- ช่องโหว่เหล่านี้เปิดโอกาสให้ผู้ไม่ประสงค์ดีข้ามขั้นตอนการตรวจสอบสิทธิ์ที่ผู้ใช้งานตั้งค่าไว้ได้สำเร็จ
- ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถยกระดับสิทธิ์ เพื่อขยายขอบเขตของกิจกรรมที่เป็นอันตรายได้มากขึ้น
- ช่องโหว่เหล่านี้ทำให้สามารถเรียกใช้งานโค้ดที่กำหนดเองได้ ซึ่งอาจก่อให้เกิดความเสียหายอย่างร้ายแรง เนื่องจากจะสามารถสั่งการคำสั่งที่เป็นอันตรายได้ และอาจส่งผลกระทบต่อระบบทั้งหมด
รายละเอียดช่องโหว่
สาเหตุของช่องโหว่เหล่านี้เกิดจากปัญหาที่เป็นที่รู้จักหลายประการ ซึ่งได้อธิบายรายละเอียดไว้ในคำแนะนำของ CERT-In ซึ่งด้านล่างนี้คือข้อสรุปคร่าว ๆ ของปัญหา
- Boundary Errors: ทำให้ผู้ไม่ประสงค์ดีสามารถจัดการกับพื้นที่ในหน่วยความจำได้
- Improper Input Validation: ทำให้ผู้ไม่ประสงค์ดีสามารถแทรกข้อมูลที่เป็นอันตรายเข้าสู่ระบบได้
- OS Command Injection Vulnerability: เป็นช่องโหว่ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถแทรกคำสั่งที่เป็นอันตรายลงในระบบปฏิบัติการได้
- Improper Restriction of Authentication Attempts: ทำให้ผู้ไม่ประสงค์ดีสามารถใช้วิธีการ brute force เพื่อเข้าสู่ระบบได้
- Heap-based Buffer Overflow: ทำให้เกิดความเสียหายของหน่วยความจำจากข้อมูลเกินขนาดใน heap อาจทำให้ระบบหยุดการทำงาน หรือเปิดโอกาสให้ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ได้
หมายเลขช่องโหว่ CVEs
เพื่อการติดตาม และรายงาน คำแนะนำของ CERT-In ยังได้ระบุ Common Vulnerabilities and Exposures (CVEs) ดังนี้
- CVE-2023-34974
- CVE-2023-34979
- CVE-2023-39298
- CVE-2024-21906
- CVE-2024-32763
- CVE-2024-32771
- CVE-2024-38641
แต่ละ CVE เชื่อมโยงกับช่องโหว่เฉพาะที่ถูกผู้ไม่หวังดีใช้ประโยชน์ เช่น การแทรกคำสั่ง หรือการยกระดับสิทธิ์ ผู้ดูแลระบบควรตรวจสอบข้อมูลเฉพาะของแต่ละ CVE เพื่อทำความเข้าใจว่าช่องโหว่เหล่านี้อาจส่งผลกระทบต่อระบบของตนอย่างไร
ผลกระทบที่อาจเกิดขึ้น
- หากใช้ช่องโหว่ได้สำเร็จ อาจส่งผลกระทบร้ายแรงดังนี้
- การรั่วไหลของข้อมูล อาจนำไปสู่ความเสียหายด้านชื่อเสียงอย่างมาก โดยเฉพาะสำหรับธุรกิจที่จัดการกับข้อมูลลูกค้า
- การเรียกใช้งานโค้ดที่อันตรายอาจทำให้ระบบหยุดการทำงาน ซึ่งจะทำให้การดำเนินธุรกิจหยุดชะงัก
- การเข้าถึงที่ไม่ได้รับอนุญาต รวมถึงการยกระดับสิทธิ์อาจทำให้ผู้ไม่ประสงค์ดีได้รับสิทธิ์ผู้ดูแลระบบ ซึ่งทำให้สามารถควบคุมระบบ NAS ได้อย่างสมบูรณ์
- ผลกระทบทางการเงิน และกฎหมาย ขึ้นอยู่กับประเภทของข้อมูลที่ถูกเปิดเผย องค์กรอาจเผชิญกับความสูญเสียทางการเงิน และบทลงโทษตามระเบียบข้อบังคับ
ขั้นตอนถัดไปในการรักษาความปลอดภัยของระบบ และลดผลกระทบจากช่องโหว่เหล่านี้
เพื่อช่วยลดความเสี่ยง QNAP ได้เร่งดำเนินการแพตช์ระบบที่ได้รับผลกระทบพร้อมกับคำแนะนำโดยละเอียด แนะนำให้ผู้ดูแลระบบดาวน์โหลด และติดตั้งแพตช์เหล่านี้โดยเร็วที่สุด เพื่อป้องกันไม่ให้ช่องโหว่เหล่านี้ถูกใช้ประโยชน์ในการโจมตีระบบขององค์กร
- QNAP Security Advisory QSA-24-28
- QNAP Security Advisory QSA-24-32
- QNAP Security Advisory QSA-24-33
Ref : cyble.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น