บริษัท QNAP ของไต้หวันในสัปดาห์นี้เปิดเผยว่าอุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อเครือข่าย (NAS)

จำนวนหนึ่งได้รับผลกระทบจากข้อบกพร่องที่เพิ่งเปิดเผยในไลบรารีการเข้ารหัส OpenSSL แบบโอเพนซอร์ส

บทความแนะนำ : Apple สร้าง iPhone ที่รองรับ5G โดยไม่มีคลื่นมิลลิเมตร

“มีรายงานช่องโหว่แบบวนซ้ำแบบไม่สิ้นสุดใน OpenSSL ที่ส่งผลกระทบต่อ QNAP NAS บางอย่าง” บริษัทกล่าวในคำแนะนำที่เผยแพร่เมื่อวันที่ 29 มีนาคม พ.ศ. 2565 “หากถูกโจมตี ช่องโหว่ดังกล่าวจะช่วยให้ผู้โจมตีทำการโจมตีแบบปฏิเสธการให้บริการได้”

ติดตามเป็นCVE-2022-0778 (คะแนน CVSS: 7.5) ปัญหานี้เกี่ยวข้องกับจุดบกพร่องที่เกิดขึ้นเมื่อแยกวิเคราะห์ใบรับรองความปลอดภัยเพื่อทริกเกอร์เงื่อนไขการปฏิเสธบริการและทำให้อุปกรณ์ที่ไม่ได้ แพตช์หยุดทำงานจากระยะไกล

ความปลอดภัยทางไซเบอร์QNAP ซึ่งกำลังตรวจสอบรายชื่อผลิตภัณฑ์กล่าวว่าจะส่งผลกระทบต่อระบบปฏิบัติการเวอร์ชันต่อไปนี้ –

QTS 5.0.x และใหม่กว่า
QTS 4.5.4 และใหม่กว่า
QTS 4.3.6 และใหม่กว่า
QTS 4.3.4 และใหม่กว่า
QTS 4.3.3 และใหม่กว่า
QTS 4.2.6 และใหม่กว่า
ฮีโร่ QuTS h5.0.x และใหม่กว่า
ฮีโร่ QuTS h4.5.4 และใหม่กว่าและ
QuTScloud c5.0.x

ความปลอดภัยทางไซเบอร์จนถึงปัจจุบันยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ประโยชน์ในธรรมชาติ แม้ว่า Computer Security Incident Response Team (CSIRT) ของอิตาลีจะออกคำแนะนำในทางตรงกันข้ามเมื่อวันที่ 16 มีนาคม หน่วยงานได้ชี้แจงกับ The Hacker News ว่าได้ “อัปเดตการแจ้งเตือนด้วย errata corrige”

คำแนะนำดังกล่าวมีขึ้นหนึ่งสัปดาห์หลังจาก QNAP เผยแพร่การอัปเดตความปลอดภัยสำหรับฮีโร่ QuTS (เวอร์ชัน h5.0.0.1949 บิวด์ 20220215 และใหม่กว่า) เพื่อแก้ไขข้อบกพร่องในการยกระดับสิทธิ์ในพื้นที่ ” Dirty Pipe ” ที่ส่งผลกระทบต่ออุปกรณ์ของตน แพทช์สำหรับระบบปฏิบัติการ QTS และ QuTScloud คาดว่าจะออกในเร็วๆ นี้

---

อ่านบทความอื่น ๆ ได้ที่ : takodaioh.com