-
09/04/2020
-
85
-
553 bài viết
QNAP cảnh báo người dùng vô hiệu hóa AFP đến khi các lỗi nghiêm trọng được sửa
Trong tuần này, công ty Đài Loan QNAP đã yêu cầu khách hàng vô hiệu hóa giao thức dịch vụ tệp AFP trên các thiết bị lưu trữ gắn liền với mạng (NAS) của hãng cho đến khi các lỗ hổng Netatalk quan trọng được xử lý.
Netatalk là một triển khai mã nguồn mở của AFP (Apple Filing Protocol) cho phép các hệ thống *NIX/*BSD hoạt động như một máy chủ tệp AppleShare (AFP) cho các máy khách macOS.
Trên các thiết bị QNAP NAS, AFP cho phép hệ thống macOS truy cập dữ liệu trên NAS. Theo QNAP, AFP vẫn được sử dụng vì nó "hỗ trợ nhiều thuộc tính của macOS mà các giao thức khác không hỗ trợ”.
Các thành viên trong nhóm EDG (Exploit Development Group) của NCC Group đã khai thác một trong những lỗi này để thực thi mã từ xa mà không cần xác thực trong cuộc thi hack Pwn2Own 2021 trên NAS Western Digital PR4100 chạy phần mềm My Cloud OS. Lỗ hổng có mã định danh là CVE-2022-23121 và được đánh giá với điểm CVSS đạt 9,8/10,
Ba lỗ hổng khác được QNAP cảnh báo cũng nhận được xếp hạng mức độ nghiêm trọng 9,8/10 (CVE-2022-23125, CVE-2022-23122, CVE-2022-0194). Cả ba lỗ hổng đều cho phép kẻ tấn công thực thi mã tùy ý từ xa mà không yêu cầu xác thực trên các thiết bị tồn tại lỗ hổng.
Vào ngày 22 tháng 3, nhóm phát triển Netatalk đã phát hành phiên bản 3.1.13 để sửa các lỗi an ninh nói trên, chỉ ba tháng sau khi các lỗi được báo cáo trong cuộc thi Pwn2Own.
QNAP cho biết các lỗ hổng Netatalk (đã được sửa trong QTS 4.5.4.2012 bản dựng 20220419 trở lên) ảnh hưởng đến các phiên bản hệ điều hành sau:
"Để giảm thiểu những lỗ hổng này, hãy vô hiệu hóa AFP. Chúng tôi khuyến nghị người dùng nên kiểm tra lại và cài đặt các bản cập nhật an ninh ngay khi chúng được phát hành”.
Để tắt AFP trên thiết bị NAS QTS hoặc QuTS hero, người dùng cần vào Control Panel > Network & File Services > Win/Mac/NFS/WebDAV > Apple Networking và chọn Disable AFP.
QNAP cũng đang nghiên cứu giải quyết lỗ hổng Linux có tên là 'Dirty Pipe' bị khai thác tích cực trong các cuộc tấn công, cho phép hacker chiếm được đặc quyền root và một lỗi OpenSSL nghiêm trọng có thể dẫn đến khả năng bị tấn công từ chối dịch vụ (DoS) và “remote crash”.
Trong khi lỗ hổng Dirty Pipe vẫn được khắc phục cho các thiết bị NAS chạy QuTScloud c5.0.x, hãng chỉ phát hành bản cập nhật an ninh QTS cho lỗ hổng OpenSSL DoS đã cảnh báo với khách hàng khoảng một tháng trước.
Một tuần trước, khách hàng của QNAP cũng đã được thông báo để giảm thiểu một số lỗi Apache HTTP Server nghiêm trọng đang đợi bản vá cho các thiết bị chạy QTS, QuTS hero và QuTScloud.
Netatalk là một triển khai mã nguồn mở của AFP (Apple Filing Protocol) cho phép các hệ thống *NIX/*BSD hoạt động như một máy chủ tệp AppleShare (AFP) cho các máy khách macOS.
Trên các thiết bị QNAP NAS, AFP cho phép hệ thống macOS truy cập dữ liệu trên NAS. Theo QNAP, AFP vẫn được sử dụng vì nó "hỗ trợ nhiều thuộc tính của macOS mà các giao thức khác không hỗ trợ”.
Các thành viên trong nhóm EDG (Exploit Development Group) của NCC Group đã khai thác một trong những lỗi này để thực thi mã từ xa mà không cần xác thực trong cuộc thi hack Pwn2Own 2021 trên NAS Western Digital PR4100 chạy phần mềm My Cloud OS. Lỗ hổng có mã định danh là CVE-2022-23121 và được đánh giá với điểm CVSS đạt 9,8/10,
Ba lỗ hổng khác được QNAP cảnh báo cũng nhận được xếp hạng mức độ nghiêm trọng 9,8/10 (CVE-2022-23125, CVE-2022-23122, CVE-2022-0194). Cả ba lỗ hổng đều cho phép kẻ tấn công thực thi mã tùy ý từ xa mà không yêu cầu xác thực trên các thiết bị tồn tại lỗ hổng.
Vào ngày 22 tháng 3, nhóm phát triển Netatalk đã phát hành phiên bản 3.1.13 để sửa các lỗi an ninh nói trên, chỉ ba tháng sau khi các lỗi được báo cáo trong cuộc thi Pwn2Own.
QNAP cho biết các lỗ hổng Netatalk (đã được sửa trong QTS 4.5.4.2012 bản dựng 20220419 trở lên) ảnh hưởng đến các phiên bản hệ điều hành sau:
- QTS 5.0.x trở lên
- QTS 4.5.4 trở lên
- QTS 4.3.6 trở lên
- QTS 4.3.4 trở lên
- QTS 4.3.3 trở lên
- QTS 4.2.6 trở lên
- QuTS hero h5.0.x trở lên
- QuTS hero h4.5.4 trở lên
- QuTScloud c5.0.x
Khuyến nghị từ QNAP: Tắt AFP cho đến khi firmware được vá
"QNAP đang tiến hành điều tra kỹ lưỡng các lỗ hổng. Chúng tôi sẽ phát hành bản cập nhật an ninh cho tất cả các phiên bản hệ điều hành QNAP bị ảnh hưởng và cung cấp thêm thông tin sớm nhất có thể” - nhà sản xuất NAS cho biết."Để giảm thiểu những lỗ hổng này, hãy vô hiệu hóa AFP. Chúng tôi khuyến nghị người dùng nên kiểm tra lại và cài đặt các bản cập nhật an ninh ngay khi chúng được phát hành”.
Để tắt AFP trên thiết bị NAS QTS hoặc QuTS hero, người dùng cần vào Control Panel > Network & File Services > Win/Mac/NFS/WebDAV > Apple Networking và chọn Disable AFP.
QNAP cũng đang nghiên cứu giải quyết lỗ hổng Linux có tên là 'Dirty Pipe' bị khai thác tích cực trong các cuộc tấn công, cho phép hacker chiếm được đặc quyền root và một lỗi OpenSSL nghiêm trọng có thể dẫn đến khả năng bị tấn công từ chối dịch vụ (DoS) và “remote crash”.
Trong khi lỗ hổng Dirty Pipe vẫn được khắc phục cho các thiết bị NAS chạy QuTScloud c5.0.x, hãng chỉ phát hành bản cập nhật an ninh QTS cho lỗ hổng OpenSSL DoS đã cảnh báo với khách hàng khoảng một tháng trước.
Một tuần trước, khách hàng của QNAP cũng đã được thông báo để giảm thiểu một số lỗi Apache HTTP Server nghiêm trọng đang đợi bản vá cho các thiết bị chạy QTS, QuTS hero và QuTScloud.
Nguồn: Bleeping Computer