QNAP อัปเดตแพตช์ QVR systems เพื่อป้องกันการโจมตีแบบ Remote Command Execution

QNAP fixes critical QVR remote command execution vulnerability

ทาง QNAP ได้ออกมาอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ใน QVR Systems ที่ส่งผลทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตีแบบ Remote Command Execution บน QVR Systems ซึ่งเป็นโซลูชันในการเฝ้ากล้องวงจรปิดของบริษัท 
ที่มีโฮสต์บนอุปกรณ์ NAS

CVE-2022-27588 (CVSS:9.8) เป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตีแบบ Remote Command Execution บน QVR Systems ซึ่งส่งผลกระทบต่อเวอร์ชัน QVR Systems ที่เก่ากว่า 5.1.6 Build 20220401  
โดยช่องโหว่ประเภทนี้จะทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งเพื่อเปลี่ยนการตั้งค่า เข้าถึงข้อมูลที่สำคัญ  
หรือควบคุมอุปกรณ์ได้  


QNAP ยังได้ออกมาแก้ไขช่องโหว่ในผลิตภัณฑ์อื่น ๆ มีดังนี้ : 

CVE-2022-27588  ช่องโหว่ที่ทำให้สามารถ RCE ใน QVR Systems 
CVE-2021-44051  ช่องโหว่ที่ทำให้สามารถ Command Injection ใน QTS, QuTS hero และ QuTScloud 
CVE-2021-44055  ช่องโหว่ที่ทำให้สามารถ Remote Access ข้อมูล 
ใน Video Station  
CVE-2021-44051 ช่องโหว่ทำให้สามารถ Remote Command Execution  
ใน QTS, QuTS hero และ QuTScloud 

คำแนะนำ 

– ควรอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันการโจมตีดังกล่าว 

Ref : https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-qvr-remote-command-execution-vulnerability/ 

Share