QNAP ได้ออก Update Patch เพื่อแก้ไขช่องโหว่ร้ายแรงส่งผลกับอุปกรณ์ NAS
QNAP ได้ออก Update Patch เพื่อแก้ไขช่องโหว่ร้ายแรงที่ส่งผลกับอุปกรณ์ NAS ที่ใช้ระบบปฏิบัติการณ์ QES, QTS และ QuTS hero ซึ่งช่องโหว่ที่ QNAP ทำการแก้ไขประกอบด้วย
- CVE-2020-2503: Stored cross-site scripting QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการแทรก Code ที่อันตรายจากระยะไกลลงใน File Station ได้
- CVE-2020-2504: Absolute path traversal QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการ Traverse files ใน File Station ได้
- CVE-2020-2505: QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการขโมยข้อมูลด้วยการสร้างข้อความแสดงข้อผิดพลาด
- CVE-2016-6903: Command injection QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ Run Command ใน Ishell
- CVE-2020-2499: Hard-coded password QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการ Login เข้าสู่ระบบด้วยรหัสผ่านแบบ Hard-coded
- CVE-2020-25847: Command injection (QTS and QuTS hero) vulnerability — สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ Run Command บน Application ที่ถูกบุกรก
- QNAP ได้ทำการแก้ไขช่องโหว่เหล่านี้แล้วใน QES 2.1.1 Build 20201006, QTS 4.5.1.1495 build 20201123 และ QuTS hero h4.5.1.1491 build 20201119
หากต้องการณ์ Update Patch สามารถทำตามขั้นตอนได้ดังนี้
- เข้าสู่ระบบ QES, QTS หรือ QuTS hero ด้วยสิทธิ์ Administrator
- ไปที่ Control Panel > System > Firmware Update.
- คลิก Check for Update. QES, QTS, or QuTS hero เพื่อทำการดาวน์โหลดและติดตั้ง Update Patch ล่าสุดของอุปกรณ์
นอกจากนี้ยังสามารถดาวน์โหลดและติดตั้ง Patch ได้ด้วยตนเองจาก Support Download Center บนเว็บไซต์ของ QNAP
ที่มา : https://www.bleepingcomputer.com/news/security/qnap-fixes-high-severity-qts-qes-and-quts-hero-vulnerabilities/