QNAP phát hành bản cập nhật cho các lỗ hổng nghiêm trọng

[WhiteHat Team]

QNAP vừa phát hành các bản cập nhật firmware để giải quyết 5 lỗ hổng nghiêm trọng ảnh hưởng đến các thiết bị NAS của hãng. Những lỗ hổng này có thể cho phép kẻ tấn công thực thi lệnh, khởi chạy các cuộc tấn công từ chối dịch vụ (DoS) hoặc làm hỏng thiết bị.

Đầu tiên là lỗ hổng mức độ cao CVE-2023-23362, lỗi chèn lệnh của hệ điều hành. Khi bị khai thác, lỗ hổng này cho phép người dùng đã xác thực thực thi các lệnh qua mạng.

Các phiên bản bị ảnh hưởng:

• QTS 5.0.1.2376 bản 20230421 trở lên
• QTS 4.5.4.2374 bản 20230416 trở lên
• QuTS hero h5.0.1.2376 bản 20230421 trở lên
• QuTS hero h4.5.4.2374 bản 20230417 trở lên
• QuTScloud c5.0.1.2374 trở lên

Tiếp theo là các lỗ hổng mức độ trung bình cho phép tấn công DoS:

• CVE-2023-23358 và CVE-2023-23359: lỗ hổng ghi ngoài giới hạn.
• CVE-2023-23360 và CVE-2023-23361: lỗ hổng tham chiếu con trỏ NULL.

Các phiên bản bị ảnh hưởng bởi các lỗ hổng DoS:

• QTS 5.0.1.2346 bản 20230322 trở lên
• QTS 4.5.4.2374 bản 20230416 trở lên
• QuTS hero h5.0.1.2348 bản 20230324 trở lên
• QuTS hero h4.5.4.2374 bản 20230417 trở lên
• QuTScloud c5.0.1.2374 trở lên

Để bảo vệ thiết bị và dữ liệu, QNAP khuyến cáo người dùng cập nhật hệ thống kịp thời theo hướng dẫn:

• Đăng nhập vào tài khoản QTS, QuTS hero hoặc QuTScloud với đặc quyền quản trị.
• Điều hướng đến Control Panel > System > Firmware Update.
• Trong phần Live Update, chọn Check for Update.
• Hệ thống sẽ tải xuống và cài đặt bản cập nhật mới nhất.

Ngoài ra, hãng cũng đã có sẵn các bản cập nhật thủ công cho người dùng bằng cách truy cập trang web QNAP, đi tới Support > Download Center và tải xuống bản cập nhật mới nhất phù hợp với thiết bị.

Theo Security Online​