QNAP phát hành bản vá khắc phục lỗ hổng an toàn thông tin trên QTS và QuTS hero

- Công ty QNAP vừa phát hành bản vá khắc phục một số lỗ hổng an toàn thông tin mức độ trung bình ảnh hưởng đến hệ điều hành QTS và QuTS hero, một trong số đó có thể bị tấn công để thực thi mã từ xa trên các thiết bị NAS của hãng.

Danh sách lỗ hổng ảnh hưởng tới QTS 5.1.x và QuTS hero h5.1.x như sau:

• CVE-2024-21902: Lỗ hổng Incorrect Permission Assignment for Critical Resource - cho phép đối tượng tấn công sử dụng tài khoản người dùng đã xác thực đọc hoặc sửa đổi tài nguyên qua mạng.

• CVE-2024-27127: Lỗ hổng double free cho phép đối tượng tấn công sử dụng tài khoản người dùng đã xác thực khả năng thực thi mã tùy ý thông qua mạng.

• CVE-2024-27128, CVE-2024-27129, và CVE-2024-27130: Bộ các lỗ hổng buffer overflow cho phép đối tượng tấn công sử dụng tài khoản người dùng đã xác thực khả năng thực thi mã tùy ý thông qua mạng.

Các lỗ hổng này yêu cầu sử dụng tài khoản hợp pháp trên thiết bị NAS để khai thác và đã được vá trong phiên bản QTS 5.1.7.2770 và QuTS hero h5.1.7.2770.

Lỗ hổng CVE-2024-27130 do hàm "strcpy" trong "No_Support_ACL" được sử dụng không an toàn bởi yêu cầu get_file_size trong script share.cgi, script này được dùng khi chia sẻ file media với người dùng ngoài hệ thống.

Để khai thác, đối tượng tấn công cần tham số "SSID" phù hợp, tham số này chỉ được tạo ra khi người dùng NAS chia sẻ file. Cả QTS 4.x và 5.x đều kích hoạt chức năng Address Space Layout Randomization (ASLR), khiến việc khai thác lỗ hổng khó khăn hơn.

Bản vá của QNAP được phát hành 4 ngày sau khi một cơ quan bảo mật tại Singapore công bố thông tin về 15 lỗ hổng, trong đó có 4 lỗ hổng cho phép đối tượng tấn công bỏ qua xác thực và thực thi mã tùy ý. Bốn lỗ hổng này, với mã định danh từ CVE-2023-50361 đến CVE2023-50364, đã được QNAP vá vào ngày 25/04/2024.

Lưu ý rằng, lỗ hổng CVE-2024-27131 (giả mạo log bằng cách sử dụng x-forwarded-for để ghi lại sự kiện tải xuống dưới dạng yêu cầu từ một nguồn gốc tùy ý) hiện vẫn chưa được QNAP sửa.

Nhà sản xuất bổ sung thông tin rằng đây là một phần của thiết kế ban đầu và yêu cầu điều chỉnh trong giao diện người dùng (UI) của QuLog Center. Chức năng này sẽ được sửa trong phiên bản QTS 5.2.0.

Khuyến nghị người dùng cập nhật phiên bản mới nhất cho QTS và QuTS hero sớm nhất có thể nhằm bảo vệ họ khỏi các mối đe dọa của các lỗ hổng đã được khai thác trước đó trên QNAP NAS.