Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
QNAP vá lỗ hổng nghiêm trọng trên hệ thống giám sát video QVR
QNAP vừa phát hành bản vá an ninh khắc phục một số lỗ hổng, một trong số đó cho phép hacker thực hiện từ xa các lệnh tùy ý trên hệ thống QVR - giải pháp giám sát video của hãng được lưu trữ trên thiết bị NAS.
Hệ thống giám sát video QVR IP hỗ trợ nhiều kênh nguồn cấp dữ liệu và giải mã video đa nền tảng và được thiết kế để giám sát cả môi trường gia đình và văn phòng.
Lỗ hổng CVE-2022-27588, có điểm CVSS 9.8, ảnh hưởng đến các phiên bản QVR cũ hơn 5.1.6 build 20220401.
Chuyên gia của QNAP cho biết lỗ hổng ảnh hưởng đến QNAP VS Series NVR chạy QVR. Khai thác thành công lỗ hổng, hacker có thể từ xa chạy các lệnh tùy ý.
Loại lỗ hổng an ninh này cho phép kẻ tấn công thực hiện các lệnh trên mục tiêu để thay đổi cài đặt, truy cập thông tin nhạy cảm hoặc kiểm soát thiết bị. Tùy thuộc vào ngữ cảnh, nó cũng có thể bị khai thác để đi sâu hơn vào mạng.
Chúng ta từng thấy trong quá khứ, các lỗ hổng nghiêm trọng trong hệ thống QNAP bị lợi dụng gần như ngay lập tức trong các cuộc tấn công mạng khi thông tin lỗ hổng được công bố công khai.
BleepingComputer đã liên hệ với QNAP để hỏi về việc CVE-2022-27588 có bị khai thác trong thực tế hay không và sẽ cập nhật thông tin sau.
Ngoài vấn đề nghiêm trọng trong QVR, QNAP cũng vá 8 lỗ hổng trong các sản phẩm khác, với xếp hạng mức độ nghiêm trọng từ trung bình đến cao.
Danh sách đầy đủ:
Hệ thống giám sát video QVR IP hỗ trợ nhiều kênh nguồn cấp dữ liệu và giải mã video đa nền tảng và được thiết kế để giám sát cả môi trường gia đình và văn phòng.
Lỗ hổng CVE-2022-27588, có điểm CVSS 9.8, ảnh hưởng đến các phiên bản QVR cũ hơn 5.1.6 build 20220401.
Chuyên gia của QNAP cho biết lỗ hổng ảnh hưởng đến QNAP VS Series NVR chạy QVR. Khai thác thành công lỗ hổng, hacker có thể từ xa chạy các lệnh tùy ý.
Loại lỗ hổng an ninh này cho phép kẻ tấn công thực hiện các lệnh trên mục tiêu để thay đổi cài đặt, truy cập thông tin nhạy cảm hoặc kiểm soát thiết bị. Tùy thuộc vào ngữ cảnh, nó cũng có thể bị khai thác để đi sâu hơn vào mạng.
Chúng ta từng thấy trong quá khứ, các lỗ hổng nghiêm trọng trong hệ thống QNAP bị lợi dụng gần như ngay lập tức trong các cuộc tấn công mạng khi thông tin lỗ hổng được công bố công khai.
BleepingComputer đã liên hệ với QNAP để hỏi về việc CVE-2022-27588 có bị khai thác trong thực tế hay không và sẽ cập nhật thông tin sau.
Ngoài vấn đề nghiêm trọng trong QVR, QNAP cũng vá 8 lỗ hổng trong các sản phẩm khác, với xếp hạng mức độ nghiêm trọng từ trung bình đến cao.
Danh sách đầy đủ:
- CVE-2022-27588: RCE nghiêm trọng- trong QNAP QVR
- CVE-2021-38693: Lỗ hổng path traversal mức trung bình trong thttpd, ảnh hưởng đến QTS, QuTS hero và QuTScloud.
- CVE-2021-44055: Lỗ hổng mức trung bình cho phép truy cập dữ liệu từ xa trong một số phiên bản Video Station.
- CVE-2021-44056: Lỗ hổng mức trung bình cho phép truy cập dữ liệu từ xa trong một số phiên bản Video Station.
- CVE-2021-44057: Lỗ hổng nghiêm trọng cao trong QNAP NAS chạy Photo Station.
- CVE-2021-44051: Lỗ hổng chèn lệnh mức nghiêm trọng cao cho phép thực thi lệnh từ xa tùy ý trong QTS, QuTS hero và QuTScloud.
- CVE-2021-44052: Lỗ hổng phân giải link mức nghiêm trọng cao trong QTS, QuTS hero và QuTScloud.
- CVE-2021-44053: Lỗ hổng XSS mức nghiêm trọng cao cho phép chèn mã từ xa vào QTS, QuTS hero và QuTScloud.
- CVE-2021-44054: Lỗ hổng chuyển hướng mở mức độ nghiêm trọng cao cho phép người dùng chuyển hướng đến một trang chứa phần mềm độc hại trong QTS, QuTS hero và QuTScloud.
Nguồn: Bleeping Computer