-
06/07/2013
-
796
-
1.304 bài viết
QNAP vá lỗ hổng cho phép kẻ tấn công chạy các lệnh độc hại từ xa
Nhà sản xuất NAS (network-attached storage) có trụ sở tại Đài Loan QNAP đã phát hành các bản vá bảo mật cho nhiều lỗ hổng có thể cho phép kẻ tấn công inject và thực thi lệnh từ xa trên các thiết bị NAS dễ bị tấn công.
Ba trong số các lỗi bảo mật được QNAP vá là các lỗ hổng bảo mật stored XSS có mức độ nghiêm trọng cao (được theo dõi là CVE-2021-34354, CVE-2021-34356 và CVE-2021-34355) ảnh hưởng đến các thiết bị chạy phần mềm Photo Station chưa được vá (phiên bản trước 5.4.10, 5.7.13 hoặc 6.0.18).
QNAP cũng đã vá một lỗ hổng stored XSS trong Image2PDF ảnh hưởng đến các thiết bị chạy các phiên bản phần mềm cũ hơn Image2PDF 2.1.5.
Các cuộc tấn công Stored XSS cho phép kẻ tấn công chèn những đoạn mã độc từ xa, lưu trữ trên các máy chủ được nhắm mục tiêu sau khi khai thác thành công.
Công ty cũng đã lỗ hổng command injection (CVE-2021-34352) ảnh hưởng đến một số thiết bị QNAP end-of-life (EOL) chạy phần mềm giám sát video QVR giúp kẻ tấn công chạy các lệnh tùy ý.
Khai thác lỗ hổng CVE-2021-34352 thành công có thể dẫn đến việc chiếm toàn quyền điều khiển các thiết bị NAS bị xâm nhập.
Ba lỗ hổng khac trong QVR cũng đã được vá vào hôm thứ Hai, được tiết lộ bởi QNAP trong một khuyến nghị bảo mật được xếp hạng với mức độ nghiêm trọng cao.
Hướng dẫn bảo mật thiết bị NAS của bạn
Do các thiết bị QNAP NAS đã phải hứng chịu hàng loạt cuộc tấn công liên tục trong những năm qua, khách hàng nên cập nhật ngay cả hai ứng dụng lên phiên bản mới nhất có sẵn càng sớm càng tốt.
Để cập nhật Photo Station hoặc Image2PDF lên phiên bản mới nhất trên NAS của bạn, hãy thực hiện theo các bước sau:
Ba trong số các lỗi bảo mật được QNAP vá là các lỗ hổng bảo mật stored XSS có mức độ nghiêm trọng cao (được theo dõi là CVE-2021-34354, CVE-2021-34356 và CVE-2021-34355) ảnh hưởng đến các thiết bị chạy phần mềm Photo Station chưa được vá (phiên bản trước 5.4.10, 5.7.13 hoặc 6.0.18).
QNAP cũng đã vá một lỗ hổng stored XSS trong Image2PDF ảnh hưởng đến các thiết bị chạy các phiên bản phần mềm cũ hơn Image2PDF 2.1.5.
Các cuộc tấn công Stored XSS cho phép kẻ tấn công chèn những đoạn mã độc từ xa, lưu trữ trên các máy chủ được nhắm mục tiêu sau khi khai thác thành công.
Công ty cũng đã lỗ hổng command injection (CVE-2021-34352) ảnh hưởng đến một số thiết bị QNAP end-of-life (EOL) chạy phần mềm giám sát video QVR giúp kẻ tấn công chạy các lệnh tùy ý.
Khai thác lỗ hổng CVE-2021-34352 thành công có thể dẫn đến việc chiếm toàn quyền điều khiển các thiết bị NAS bị xâm nhập.
Ba lỗ hổng khac trong QVR cũng đã được vá vào hôm thứ Hai, được tiết lộ bởi QNAP trong một khuyến nghị bảo mật được xếp hạng với mức độ nghiêm trọng cao.
Hướng dẫn bảo mật thiết bị NAS của bạn
Do các thiết bị QNAP NAS đã phải hứng chịu hàng loạt cuộc tấn công liên tục trong những năm qua, khách hàng nên cập nhật ngay cả hai ứng dụng lên phiên bản mới nhất có sẵn càng sớm càng tốt.
Để cập nhật Photo Station hoặc Image2PDF lên phiên bản mới nhất trên NAS của bạn, hãy thực hiện theo các bước sau:
- Đăng nhập vào QTS hoặc QuTS hero với vai trò administrator.
- Mở App Center và click vào biểu tượng tìm kiếm
- Nhập "Photo Station" hoặc "Image2PDF" rồi nhấn ENTER. Ứng dụng xuất hiện trong kết quả tìm kiếm.
- Nhấp vào Update. Một thông báo xác nhận xuất hiện. Lưu ý: Nút Update không khả dụng nếu bạn đang sử dụng phiên bản mới nhất.
- Bấm OK. Ứng dụng được cập nhật.
- Đăng nhập vào QVR với vai trò administrator.
- Truy cập Control Panel > System Settings > Firmware Update.
- Mục Live Update, chọn Check for Update. QVR sẽ tải về và cập nhật phiên bản mới nhất.
Theo BleepingComputer
Chỉnh sửa lần cuối: