کمیته رکن چهارم – آسیبپذیری جدیدی در سیستم عامل QTS کشف شده است که باعث میشود مهاجم کدهای مخرب را از راه دور روی سیستم قربانی اجرا کند.
یک آسیب پذیری باشناسه CVE-2022-27596 و شدت بحرانی (۹.۸) در سیستم عاملهای QTS 5.0.1 و QuTS hero h5.0.1 مربوط به دستگاه QNAP گزارش شده که نسخه وصله شده آن نیز منتشر شده است.
جزئیات آسیبپذیری
با سوء استفاده از این آسیبپذیری مهاجم میتواند از راه دور کدهای مخرب دلخواه خود را به سیستم قربانی تزریق کند. این آسیبپذیری دارای بردار حمله AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H میباشد و بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N). سوء استفاده از این آسیبپذیری نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوءاستفاده از آسیبپذیری مذکور بر منابع مدیریتشده توسط سایر مراجع امنیتی تأثیر نمیگذارد (S:U) و در بدترین شرایط، با سوءاستفاده از آن، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار میگیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
سیستمعاملهای ۵.۰.۱QTS و QuTS hero h۵.۰.۱ مربوط به دستگاه QNAP تحت تأثیر این آسیبپذیری قرار میگیرند.
توصیههای امنیتی
این آسیبپذیری در دو نسخه از سیستمعاملهای QTS و QuTS hero رفع شده است که عبارتند از:
و نسخههای بعدی QuTS hero h۵.۰.۱.۲۲۴۸ build ۲۰۲۲۱۲۱۵
و نسخههای بعدی QTS ۵.۰.۱.۲۲۳۴ build ۲۰۲۲۱۲۰۱
لذا به کاربران توصیه میشود در اسرع وقت از طریق مسیر زیر، نسبت به بهروزرسانی سیستم خود اقدام کنند:
با سطح دسترسی ادمین به QTS و QuTS hero وارد شوید و به مسیر زیر بروید:
Control Panel > System > Firmware Update
سپس در قسمت Live Update، روی Check for Update کلیک کنید و آخرین به روزرسانی موجود برای QTS یا QuTS hero را دانلود و نصب کنید. شما همچنین میتوانید بهروزرسانیهای منتشر شده را از آدرس ذیل دانلود کنید:
https://www.qnap.com/en/download
Support > Download Center
منبع : مرکز ماهر
