Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ຜູ້​ຊ່ຽວ​ຊານແນະນໍາ​ຜູ້​ໃຊ້​ຮີບອັບ​ເດດອຸປະກອນ QNAP ເພາະ​ພົບ​ຊ່ອງ​ໂຫວ່ເທິງ​ QNAP NAS ອາດກະທົບ​ອຸປະກອນ​ຫຼາຍກວ່າ​ 450,000 ເຄື່ອງ​

ຜູ້​ຊ່ຽວ​ຊານແນະນໍາ​ຜູ້​ໃຊ້​ຮີບອັບ​ເດດອຸປະກອນ QNAP ເພາະ​ພົບ​ຊ່ອງ​ໂຫວ່ເທິງ​ QNAP NAS ອາດກະທົບ​ອຸປະກອນ​ຫຼາຍກວ່າ​ 450,000 ເຄື່ອງ​
Henry Huang ຜູ້​ຊ່ຽວ​ຊານ​ດ້ານ​ຄວາມປອດ​ໄພ​ຄົນ​ໄຕ້​ຫວັນ​ໄດ້​ເປີດ​ເຜີຍ​ຊ່ອງ​ໂຫວ່​ 4 ລາຍ​ການ​ ຊຶ່ງ​ 3 ລາຍ​ການ​ເກີດ​ຂຶ້ນ​ກັບ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ Photo Station ເທິງ​ອຸປະກອນ​ QNAP ໂດຍ​ສ່ວນ​ໃຫຍ່​ຈະ​ມີ​ການ​ຕິດ​ຕັ້ງ​ແອັບ​ນີ້​ມາ​ກັບ​ອຸປະກອນ​ ຄາດວ່າຈະ​ມີ​ອຸປະກອນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບຫຼາຍ​ກວ່າ​ 450,000 ເຄື່ອງ ​ຈາກ​ການ​ຄົ້ນ​ຫາ​ດ້ວຍ​ Shodan.


ຊ່ອງ​ໂຫວ່​ 3 ລາຍ​ການ​ ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ Photo Station ມີ​ຄື: CVE-2019-7192, CVE-2019-7194 ແລະ​ CVE-2019-7195 ໂດຍ​ສາມາດ​ໃຊ້​ຮ່ວມ​ກັນ ​ເພື່ອ​ສົ່ງ​ຜົນ​ກະທົບ​ເຮັດໃຫ້​ເກີດ​ການ​ Bypass Authentication, ລັກລອບ​ໃສ່​ໂຄດ​ (Code) ອັນຕະລາຍ​ໃນ​ PHP Session ຂອງ​ແອັບ​ ແລະ​ ສາມາດ​ຕິດ​ຕັ້ງ​ Web Shell ໄດ້​ຕາມ​ລຳ​ດັບ​ ນອກ​ຈາກ​ນີ້​, Photo Station ​ນໍາໃຊ້​ສິດ​ລະ​ດັບ​ Root ດັ່ງ​ນັ້ນ, ​ຜູ້​ໂຈມ​ຕີ​ຈະ​ສາມາດ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ເພື່ອ​ເຂົ້າ​ຍຶດ​ອຸປະກອນ​ໄດ້​.

ຊ່ອງ​ໂຫວ່​ CVE-2019-7193 ເປັນ​ອີກ​ໜຶ່ງ​ຊ່ອງ​ໂຫວ່​ທີ່ເກີດຂື້ນ​ໃນ​ແອັບ​ QTS File Manager ຢ່າງໃດ​ກໍ່ຕາມ ​ຊ່ອງ​ໂຫວ່​ທັງ​ໝົດ​ໄດ້​ຖືກ​ແພັດແກ້ໄຂ (Path) ​​ແລ້ວ​ ຕັ້ງ​ແຕ່ເດືອນ ພະຈິກ ​ປີ​ກ່ອນ​ ເມື່ອຮູ້ແນວນີ້ແລ້ວກໍ່ຄວນຮີບອັບເດດໂດຍດ່ວນ ເພື່ອແກ້ໄຂຊ່ອງໂຫວ່ດັ່ງກ່າວ.

 

ເອກະສານອ້າງອີງ:

  1. https://www.zdnet.com/article/hundreds-of-thousands-of-qnap-devices-vulnerable-to-remote-takeover-attacks/
  2. https://www.techtalkthai.com/4-critical-vulnerabilities-in-qnap-nas-effect-450000-devices/

ລາຍການຮູບ

Porher 29 May 2020 3,663 Print