رفع چند آسیب‌پذیری با درجه حساسیت بالا در QNAP

کمیته رکن چهارم – با انتشار به‌روزرسانی‌های امنیتی QNAP، چندین آسیب‌پذیری با درجه حساسیت بالا در تجهیزات ذخیره‌ساز متصل به شبکه (NAS) این شرکت برطرف شد.

شرکت QNAP چند آسیب‌پذیری با درجه حساسیت بالا را در محصولات خود ترمیم کرد. سیستم‌های عامل QTS ،QuTS hero ،QES که در تجهیزات NAS شرکت QNAP استفاده می‌شوند از آسیب‌پذیری‌های مذکور تأثیر می‌پذیرند.

در مجموع، این سازنده تجهیزات NAS شش آسیب‌پذیری را در این سیستم‌های عامل مبتنی FreeBSD، Linux و ۱۲۸-bit ZFS ترمیم کرده است.

تزریق کد (Command Injection)، تزریق اسکریپت از طریق سایت (XSS) و رمز درج شده در کد (Hard-coded Password) ازجمله این آسیب‌پذیری‌های ترمیم شده هستند.

مهاجم با بهره‌جویی از ضعف‌های «تزریق اسکریپت از طریق سایت» می‌تواند به‌صورت از راه دور کد مخرب را در نسخ آسیب‌پذیر تزریق کند. همچنین سوءاستفاده از باگ‌های «تزریق کد» نیز می‌تواند بستر را برای ترفیع سطح دسترسی مهاجم و اجرای فرامین دلخواه او بر روی دستگاه هک شده یا حتی در اختیار قرار گرفتن کنترل سیستم عامل فراهم کند.

فهرست کامل آسیب‌پذیری‌های ترمیم شده QNAP به‌شرح زیر است:
CVE-۲۰۲۰-۲۵۰۳: ضعفی از نوع “تزریق اسکریپت از طریق سایت” در QES است که مهاجم را قادر به تزریق کد مخرب در File Station می‌کند.

CVE-۲۰۲۰-۲۵۰۴: ضعفی از نوع Absolute Path Traversal در QES است که امکان پیمایش فایل‌ها در File Station را برای مهاجم فراهم می‌کند.

CVE-۲۰۲۰-۲۵۰۵: ضعفی در QES که مهاجم را قادر می‌سازد تا با ایجاد پیام‌های خطا به اطلاعات حساس دست پیدا کند.

CVE-۲۰۱۶-۶۹۰۳: ضعفی از نوع “تزریق کد” در QES که امکان اجرای فرامین را در Ishell برای مهاجم فراهم می‌کند.

CVE-۲۰۲۰-۲۴۹۹: ضعفی از نوع “رمز تزریق شده” در QES که مهاجم را قادر به دستیابی به سامانه از طریق رمز مذکور می‌کند.

‌CVE-۲۰۲۰-۲۵۸۴۷: ضعفی از نوع “تزریق کد” در QTS و QuTS hero که امکان اجرای فرامین را توسط مهاجم در برنامه‌های هک شده فراهم می‌کند.

طبق اعلام QNAP آسیب‌پذیری‌های مذکور در نسخ زیر ترمیم شده‌اند:
QES ۲,۱.۱ Build ۲۰۲۰۱۰۰۶+
QTS ۴,۵.۱.۱۴۹۵ build ۲۰۲۰۱۱۲۳+
QuTS hero h۴,۵.۱.۱۴۹۱ build ۲۰۲۰۱۱۱۹+

به تمامی راهبران توصیه می‌شود که سامانه‌های خود را مطابق با اطلاعات درج شده در لینک زیر به آخرین نسخه ارتقا دهند:
https://www.qnap.com/en/product/eol.php
برای نصب این روزرسانی‌های امنیتی مراحل زیر باید دنبال شود:
با نام کاربری administrator وارد شوید.
مسیر Control Panel > System > Firmware Update را دنبال کنید.
در بخش Live Update بر روی Check for Update کلیک شود تا آخرین نسخه دریافت و اجرا شود.
امکان دریافت دستی به‌روزرسانی در بخش Support Download Center سایت QNAP نیز فراهم است.

چند هفته قبل نیز QNAP آسیب‌پذیری‌هایی را در برخی تجهیزات با سیستم عامل QTS ترمیم کرد که بهره‌جویی از آنها کنترل سامانه را در اختیار مهاجم قرار می‌دهد.

تجهیزات NAS به دلیل وجود اطلاعات بالقوه حساس بر روی آنها به‌طور مستمر هدف مهاجمان قرار می‌گیرند. ضمن اینکه بستر مناسبی برای توزیع بدافزارها در سطح شبکه هستند. به‌خصوص آن‌که معمولاً از این تجهیزات برای نگهداری نسخ پشتیبان و به‌اشتراک‌گذاری فایل‌ها میان کاربران استفاده می‌شود.

در ماه اکتبر هم QNAP هشدار داد که برخی نسخ QTS در صورتی که دستگاه NAS میزبان آنها به‌عنوان Domain Controller تعریف شده باشد نسبت به ضعف امنیتی “حیاتی” ZeroLogon آسیب‌پذیر هستند.

در سپتامبر نیز این شرکت به مشتریان خود هشدار داد که مهاجمان در جریان حمله‌ای باج‌افزاری در حال بهره‌جویی از نسخ قدیمی Photo Station بر روی این تجهیزات و آلوده کردن دستگاه به AgeLocker هستند.

آزمایشگاه ۳۶۰Netlab در ماه آگوست اعلام کرد که مهاجمان با پویش دستگاه‌های NAS با ثابت‌افزار آسیب‌پذیر اقدام به بهره‌جویی از ضعف‌هایی می‌کنند که بیش از سه سال از عرضه اصلاحیه برای آنها می‌گذرد.

منبع : مرکز مدیریت راهبردی افتا