Hàng chục nghìn thiết bị NAS QNAP SOHO tồn tại lỗ hổng RCE nghiêm trọng chưa được vá

10:22, 15/04/2021

Các nhà nghiên cứu từ công ty SAM Seamless Network đã cảnh báo 2 lỗ hổng RCE chưa được vá trên các thiết bị lưu trữ gắn chung mạng (NAS) dành cho các văn phòng nhỏ và văn phòng tại nhà (QNAP SOHO).

Hàng chục nghìn thiết bị NAS QNAP SOHO tồn tại lỗ hổng RCE nghiêm trọng chưa được vá

Các lỗ hổng trên ảnh hưởng đến các thiết bị QNAP TS-231 SOHO NAS chạy phiên bản firmware 4.3.6.1446, nhưng vẫn có khả năng ảnh hưởng đến các thiết bị QNAP khác dùng chung bản firmware trên. Hãng QNAP hiện đã ngừng kinh doanh sản phẩm TS-231 NAS và sẽ không cung cấp các bản cập nhật phần mềm cho dòng sản phẩm này.

Theo SAM, hãng này đã không phát hành bất kỳ bản vá nào cho các thiết bị tồn tại lỗ hổng dù một trong hai lỗ hổng đã được báo cáo vào nửa đầu tháng 10/2020. Lỗ hổng thứ hai được báo cáo vào cuối tháng 11/2020. Công ty này cho biết: “Các lỗ hổng trên rất nghiêm trọng, kẻ tấn công dễ dàng khai thác để hoàn toàn chiếm quyền điều khiển các thiết bị trong mạng, bao gồm quyền truy cập vào dữ liệu được lưu trữ của người dùng".

Lỗ hổng đầu tiên nằm trong máy chủ web NAS sử dụng cổng TCP 8080 mặc định và tồn tại do quá trình sanitization xử lý không chính xác một số API. Các lỗ hổng thực thi mã từ xa trước đây trong thiết bị QNAP NAS khai thác các trang web không yêu cầu xác thực nhưng thực thi mã từ phía máy chủ. Các nhà nghiên cứu của SAM đã nghiên cứu các tệp cgi được lưu trữ cục bộ trên thiết bị để triển khai các trang trên.

Trong quá trình điều tra, các nhà nghiên cứu phát hiện thông qua các truy vấn HTTP đến các trang cgi khác nhau, chủ yếu là những trang không yêu cầu xác thực trước, họ có thể triển khai việc thực thi mã từ xa một cách gián tiếp.

SAM nhấn mạnh nhà cung cấp có thể xử lý các lỗ hổng bảo mật này bằng cách thêm tính năng sanitization vào một số quy trình chủ chốt và các thư viện API.

Lỗ hổng thứ hai được xác định trong máy chủ DLNA, sử dụng cổng TCP 8200 mặc định và xử lý các truy vấn UPNP trên cổng này. SAM cho biết rằng lỗ hổng này cũng có thể bị khai thác để thực thi mã trên một NAS từ xa.

Các nhà nghiên cứu hạn chế cung cấp thông tin chi tiết về các lỗ hổng nghiêm trọng này vì lỗ hổng có khả năng ảnh hưởng đến hàng chục nghìn thiết bị QNAP kết nối Internet.

Theo antoanthongtin.vn

TIN LIÊN QUAN
Từ khóa:

Bài khác

49 doanh nghiệp bị đình chỉ Giấy phép cung cấp dịch vụ trò chơi điện tử G1 trên mạng 49 doanh nghiệp bị đình chỉ Giấy phép cung cấp dịch vụ trò chơi điện tử G1 trên mạng
11:19 am, 24/04/2024
Giải pháp phòng chống mã độc mã hóa dữ liệu Ransomware Giải pháp phòng chống mã độc mã hóa dữ liệu Ransomware
10:21 am, 24/04/2024
Cảnh báo 6 hình thức lừa đảo trực tuyến đáng chú ý Cảnh báo 6 hình thức lừa đảo trực tuyến đáng chú ý
09:16 am, 24/04/2024
Doanh nghiệp bị tấn công mạng, cảnh báo nguy cơ mất an toàn, an ninh thông tin Doanh nghiệp bị tấn công mạng, cảnh báo nguy cơ mất an toàn, an ninh thông tin
03:00 pm, 23/04/2024
Cảnh giác với thủ đoạn lừa đảo mới về chính sách bảo hiểm Cảnh giác với thủ đoạn lừa đảo mới về chính sách bảo hiểm
08:03 am, 23/04/2024
Yêu cầu các sàn TMĐT, website bán hàng gỡ bỏ các thiết bị kích sóng, gây nhiễu sóng Yêu cầu các sàn TMĐT, website bán hàng gỡ bỏ các thiết bị kích sóng, gây nhiễu sóng
04:39 pm, 22/04/2024
Người dùng Facebook bị xóa sạch các bài đăng Người dùng Facebook bị xóa sạch các bài đăng
04:16 pm, 22/04/2024
Cách bảo vệ email và tài khoản mạng xã hội Cách bảo vệ email và tài khoản mạng xã hội
03:50 pm, 22/04/2024
An toàn thông tin và bảo vệ quyền riêng tư đối với doanh nghiệp trong kỷ nguyên số An toàn thông tin và bảo vệ quyền riêng tư đối với doanh nghiệp trong kỷ nguyên số
01:19 pm, 20/04/2024
Cisco nâng cao bảo mật bằng AI Cisco nâng cao bảo mật bằng AI
10:17 am, 20/04/2024

Bài mới nhất

Đâu là 'Lá chắn trong kỷ nguyên số'? Đâu là 'Lá chắn trong kỷ nguyên số'?
Đề xuất đánh thuế VAT hàng giá trị nhỏ nhập qua Shopee, Lazada, Tiktok... Đề xuất đánh thuế VAT hàng giá trị nhỏ nhập qua Shopee, Lazada, Tiktok...
Tạo động lực sáng chế, thúc đẩy đổi mới sáng tạo Tạo động lực sáng chế, thúc đẩy đổi mới sáng tạo
VPBank hoàn thành gần 1/4 mục tiêu kinh doanh năm 2024 trong quý 1 VPBank hoàn thành gần 1/4 mục tiêu kinh doanh năm 2024 trong quý 1
Một nhà khoa học Việt Nam nhận giải thưởng 'Nhà sáng chế xuất sắc quốc tế' Một nhà khoa học Việt Nam nhận giải thưởng 'Nhà sáng chế xuất sắc quốc tế'
Thủ tướng chỉ rõ '3 tăng cường', '5 đẩy mạnh' trong chuyển đổi số quốc gia, phát triển kinh tế số Thủ tướng chỉ rõ '3 tăng cường', '5 đẩy mạnh' trong chuyển đổi số quốc gia, phát triển kinh tế số
Thủ tướng Phạm Minh Chính chủ trì phiên họp Ủy ban Quốc gia về chuyển đổi số Thủ tướng Phạm Minh Chính chủ trì phiên họp Ủy ban Quốc gia về chuyển đổi số
Tăng mức xử phạt đối với người nổi tiếng trên mạng xã hội Tăng mức xử phạt đối với người nổi tiếng trên mạng xã hội
Mở rộng cơ hội đầu tư, phát triển AI và bán dẫn tại Việt Nam Mở rộng cơ hội đầu tư, phát triển AI và bán dẫn tại Việt Nam
Khoa học, công nghệ và đổi mới sáng tạo trước những cơ hội và thử thách Khoa học, công nghệ và đổi mới sáng tạo trước những cơ hội và thử thách
Điểm sáng chuyển đổi số: Hà Nội quyết chấm dứt tình trạng xếp hàng nộp hồ sơ đi học Điểm sáng chuyển đổi số: Hà Nội quyết chấm dứt tình trạng xếp hàng nộp hồ sơ đi học
49 doanh nghiệp bị đình chỉ Giấy phép cung cấp dịch vụ trò chơi điện tử G1 trên mạng 49 doanh nghiệp bị đình chỉ Giấy phép cung cấp dịch vụ trò chơi điện tử G1 trên mạng
Hàng hóa chuyển sàn TMĐT…hàng tỷ USD mỗi tháng, có nên miễn thuế GTGT? Hàng hóa chuyển sàn TMĐT…hàng tỷ USD mỗi tháng, có nên miễn thuế GTGT?
Máy tính Thánh Gióng vinh dự nhận giải tại Hội thi Vifotec lần thứ 17 Máy tính Thánh Gióng vinh dự nhận giải tại Hội thi Vifotec lần thứ 17
Giải pháp phòng chống mã độc mã hóa dữ liệu Ransomware Giải pháp phòng chống mã độc mã hóa dữ liệu Ransomware