ทีมนักวิจัยออกมาเผยรายละเอียดช่องโหว่ด้านความปลอดภัยร้ายแรงที่อยู่ในอุปกรณ์สตอเรจบนเครือข่ายของ TerraMaster (TNAS) ที่อาจถูกใช้ในการรันโค้ดอันตรายจากระยะไกลด้วยสิทธิ์ผู้ใช้ระดับสูงสุด โดยไม่ต้องยืนยันตัวตนได้
โดยบริษัทวิจัยด้านความปลอดภัยทางไซเบอร์สัญชาติเอธิโอเปีย Octagon Networks ระบุว่า ปัญหานี้อยู่ในส่วนของ TOS ซึ่งย่อมาจาก TerraMaster Operating System ทำให้ผู้โจมตีได้สิทธิ์เข้าถึงแบบข้ามการยืนยันตัวตน เข้าไปถึงบ็อกซ์ของเหยื่อได้เพียงแค่รู้ที่อยู่ไอพี
TOS นี้เป็นระบบปฏิบัติการที่ออกแบบสำหรับอุปกรณ์ TNAS เพื่อให้ผู้ใช้จัดการสตอเรจ, ติดตั้งแอพพลิเคชั่น, และสำรองข้อมูล ซึ่งจากข้อมูลล่าสุด พบว่าช่องโหว่นี้ถูกแพ็ตช์ในเวอร์ชั่น 4.2.30 เมื่อวันที่ 1 มีนาคมที่ผ่านมา
ช่องโหว่หนึ่งของปัญหานี้ที่อยู่ภายใต้รหัส CVE-2022-24990 เกี่ยวข้องกับกรณีข้อมูลหลุดในส่วนที่เรียกว่า “webNasIPS” อันได้แก่เวอร์ชั่นเฟิร์มแวร์ TOS, เลขไอพีและ MAC Address ของดีฟอลต์เกตเวย์, รวมถึงแฮชของรหัสผ่านแอดมินด้วย
อ่านเพิ่มเติมที่นี่ – THN
//////////////////