کمیته رکن چهارم – کیونپ درخصوص اکسپلویت دو آسیبپذیری امنیتی در محصول QTS به کاربران هشدار داد.
کیونپ از وجود دو ضعف امنیتی در QTS (سیستمعامل محصولات ساخت این شرکت) خبر داده که بهرهجویی (Exploit) از آنها مهاجم را قادر به اجرای کدهای دلخواه و بالقوه حساس بر روی دستگاه آسیبپذیر میکند.
آسیبپذیریهای مذکور که به آنها شناسههای CVE-۲۰۲۰-۲۴۹۰ و CVE-۲۰۲۰-۲۴۹۲ تخصیص داده شده هر دو از نوع «تزریق فرمان» (Command Injection) گزارش شدهاند.
نسخههای عرضه شده تا قبل از ۸ سپتامبر ۲۰۲۰ از این آسیبپذیریها که بهصورت از راه دور قابل سوءاستفاده هستند، متأثر میشوند. به عبارت دیگر QTS ۴,۴.۳.۱۴۲۱ Build ۲۰۲۰۰۹۰۷ و نسخههای بعد از آن در برابر آسیبپذیریهای مذکور ایمن هستند.
روشن نیست که مهاجم به چه طریق میتواند از ضعفهای مذکور بهرهجویی کند یا کدام اجزای سیستمعامل به آنها آسیبپذیر هستند. اما بهطور کلی فراهم بودن امکان اجرای کد عملا بهمعنای ممکن بودن تسخیر دستگاه توسط مهاجم است.
قابلیتهای QTS فراتر از مهیا کردن بستری برای بهاشتراکگذاری فایلها، مدیریت ذخیرهساز و تهیه پشتیبان است. این سیستمعامل امکان نصب برنامههای قابل دسترس در انباره QNAP App Center را برای توسعه امکانات دستگاه در پوشش نیازهای کسبوکار و کاربران فراهم میکند.
کسبوکارهای کوچک معمولا از تجهیزات موسوم به «ذخیرهساز متصل به شبکه» (NAS) کیونپ برای ذخیرهسازی نسخ پشتیبان و بهاشتراکگذاری فایل استفاده میکنند. در دسترس بودن هریک از این تجهیزات بر روی اینترنت در صورت استفاده از نسخهای آسیبپذیر از سیستمعامل، مهاجم را قادر به آلودهسازی ذخیرهساز به انواع بدافزارها میکند.
کیونپ در ماه سپتامبر به مشتریان خود درخصوص اجرای حمله باجافزاری به تجهیزات NAS ساخت این شرکت هشدار داد. در جریان حمله مذکور مهاجمان از یک آسیبپذیری در Photo Station که برنامهای برای ارسال تصاویر بر روی دستگاه، ایجاد آلبوم و مشاهده آنها بهصورت از راه دور است سوءاستفاده میکردند.
بهتازگی نیز این شرکت اشکالاتی را در برنامه Helpdesk خود برطرف کرد که بهرهجویی از آنها مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند.
بر طبق هشدار دیگری که حدود دو هفته قبل منتشر شد برخی نسخ QTS از ضعف امنیتی حیاتی Zerologon به شناسه CVE-۲۰۲۰-۱۴۷۲ در Windows نیز متأثر میشوند.
کاربران میتوانند با مراجعه به سایت کیونپ نسبت به دریافت و نصب دستی بهروزرسانی اقدام کنند. همچنین با دنبال کردن مراحل زیر نیز میتوان آخرین بهروزرسانی را بر روی دستگاه نصب و اعمال کرد:
– با کاربری با سطح دسترسی administrator به QTS وارد شوید.
– به مسیر Control Panel > System > Firmware Update مراجعه کنید.
– در قسمت Live Update بر روی Check for Update کلیک کنید.
مرجع : مرکز مدیریت راهبردی افتا
