CVE-2022-27588 (CVSS:9.8)ช่องโหว่ที่โจมตีแบบ RCE บน QVR Systems
ทาง QNAP ได้ออกมาอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ใน QVR Systems ที่ส่งผลทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตีแบบ Remote Command Execution บน QVR Systems ซึ่งเป็นโซลูชันในการเฝ้ากล้องวงจรปิดของบริษัท
ที่มีโฮสต์บนอุปกรณ์ NAS
CVE-2022-27588 (CVSS:9.8) เป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตีแบบ Remote Command Execution บน QVR Systems ซึ่งส่งผลกระทบต่อเวอร์ชัน QVR Systems ที่เก่ากว่า 5.1.6 Build 20220401
โดยช่องโหว่ประเภทนี้จะทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งเพื่อเปลี่ยนการตั้งค่า เข้าถึงข้อมูลที่สำคัญ
หรือควบคุมอุปกรณ์ได้
QNAP ยังได้ออกมาแก้ไขช่องโหว่ในผลิตภัณฑ์อื่น ๆ มีดังนี้ :
| CVE-2022-27588 | ช่องโหว่ที่ทำให้สามารถ RCE ใน QVR Systems |
| CVE-2021-44051 | ช่องโหว่ที่ทำให้สามารถ Command Injection ใน QTS, QuTS hero และ QuTScloud |
| CVE-2021-44055 | ช่องโหว่ที่ทำให้สามารถ Remote Access ข้อมูล ใน Video Station |
| CVE-2021-44051 | ช่องโหว่ทำให้สามารถ Remote Command Execution ใน QTS, QuTS hero และ QuTScloud |
คำแนะนำ
– ควรอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันการโจมตีดังกล่าว
Ref : https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-qvr-remote-command-execution-vulnerability/