เมื่อไม่นานมานี้ ผู้ผลิตอุปกรณ์สตอเรจแบบ NAS อย่าง QNAP ได้ออกตัวอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่ปล่อยให้ผู้โจมตีเข้าควบคุมอุปกรณ์ NAS ที่ไม่ได้รับการติดตั้งแพ็ตช์ได้
รวมช่องโหว่ที่มีแพ็ตช์ออกมาทั้งหมดถึง 8 รายการ กระทบกับอุปกรณ์ QNAP NAS ทุกรุ่นที่ยังใช้ซอฟต์แวร์ที่มีช่องโหว่อยู่ โดยเป็นบั๊กที่เปิดช่องให้ยิงคำสั่งเข้ามา และทำสคริปต์ข้ามไซต์ (XSS) ที่ถูกจัดความร้ายแรงอยู่ในระดับกลางและสูงตามลำดับ
ช่องโหว่ XSS นี้ทำให้ผู้โจมตีจากภายนอกยิงโค้ดอันตรายเข้ามาในแอพพลิเคชั่นที่ยังไม่ได้แพ็ตช์ได้ ส่วนบั๊กที่เปิดการยิงคำสั่งเข้ามานั้นทำให้ผู้โจมตีสามารถยกระดับสิทธิ์การใช้งาน รันคำสั่งบนอุปกรณ์ และควบคุมระบบปฏิบัติการได้
ซอฟต์แวร์ที่ได้รับการอัพเดทครั้งนี้ได้แก่ ระบบปฏิบัติการ QNAP QuTS และ QTS NAS OS ซึ่งเป็นการอุดช่องโหว่ภายใต้รหัสต่างๆ ได้แก่ CVE-2020-2495, CVE-2020-2496, CVE-2020-2497, และ CVE-2020-2498 ที่เป็นบั๊ก XSS รวมทั้ง CVE-2019-7198 สำหรับช่องโหว่ Command Injection
ที่มา : Bleepingcomputer
