QNAP با انتشار به‌روزرسانی‌های امنیتی، چندین آسیب‌پذیری با درجه حساسیت بالا را در تجهیزات ذخیره‌ساز متصل به شبکه (NAS) این شرکت ترمیم کرده است.
به گزارش معاونت بررسی مرکز افتا به نقل از سایت bleepingcomputer، سیستم‌های عامل زیر که در تجهیزات NAS شرکت QNAP استفاده می‌شوند از آسیب‌پذیری‌های مذکور تأثیر می‌پذیرند:

•     QES
•     QTS
•     QuTS hero

در مجموع، این سازنده تجهیزات NAS شش آسیب‌پذیری را در این سیستم‌های عامل مبتنی FreeBSD، Linux و 128-bit ZFS ترمیم کرده است.
"تزریق کد" (Command Injection)، "تزریق اسکریپت از طریق سایت" (XSS) و "رمز درج شده در کد" (Hard-coded Password) از جمله این آسیب‌پذیری‌های ترمیم شده هستند.
بهره‌جویی از ضعف‌های "تزریق اسکریپت از طریق سایت" ترمیم شده، مهاجم را قادر می‌کند تا به‌صورت از راه دور کد مخرب را در نسخ آسیب‌پذیر تزریق کند.
همچنین سوءاستفاده از باگ‌های "تزریق کد" نیز می‌تواند بستر را برای ترفیع سطح دسترسی مهاجم و اجرای فرامین دلخواه او بر روی دستگاه هک شده یا حتی در اختیار قرار گرفتن کنترل سیستم عامل فراهم کند.
فهرست کامل آسیب‌پذیری‌های ترمیم شده QNAP به‌شرح زیر است:

•     CVE-2020-2503: ضعفی از نوع "تزریق اسکریپت از طریق سایت" در QES است که مهاجم را قادر به تزریق کد مخرب در File Station می‌کند.
•     CVE-2020-2504: ضعفی از نوع Absolute Path Traversal در QES است که امکان پیمایش فایل‌ها در File Station را برای مهاجم فراهم می‌کند.
•     CVE-2020-2505: ضعفی در QES که مهاجم را قادر می‌سازد تا با ایجاد پیام‌های خطا به اطلاعات حساس دست پیدا کند.
•     CVE-2016-6903: ضعفی از نوع "تزریق کد" در QES که امکان اجرای فرامین را در Ishell برای مهاجم فراهم می‌کند.
•     CVE-2020-2499: ضعفی از نوع "رمز تزریق شده" در QES که مهاجم را قادر به دستیابی به سامانه از طریق رمز مذکور می‌کند.
•     ‌CVE-2020-25847: ضعفی از نوع "تزریق کد" در QTS و QuTS hero که امکان اجرای فرامین را توسط مهاجم در برنامه‌های هک شده فراهم می‌کند.

بر طبق اعلام QNAP آسیب‌پذیری‌های مذکور در نسخ زیر ترمیم شده‌اند:

•     QES 2.1.1 Build 20201006+
•     QTS 4.5.1.1495 build 20201123+
•     QuTS hero h4.5.1.1491 build 20201119+

به تمامی راهبران توصیه می‌شود که سامانه‌های خود را مطابق با اطلاعات درج شده در لینک زیر به آخرین نسخه ارتقا دهند: برای نصب این روزرسانی‌های امنیتی مراحل زیر باید دنبال شود:

•     با نام کاربری administrator وارد شوید.
•     مسیر Control Panel > System > Firmware Update را دنبال کنید.
•     در بخش Live Update بر روی Check for Update کلیک شود تا آخرین نسخه دریافت و اجرا شود.

امکان دریافت دستی به‌روزرسانی در بخش Support Download Center سایت QNAP نیز فراهم است.
چند هفته قبل نیز QNAP آسیب‌پذیری‌هایی را در برخی تجهیزات با سیستم عامل QTS ترمیم کرد که بهره‌جویی از آنها کنترل سامانه را در اختیار مهاجم قرار می‌دهد.
تجهیزات NAS به دلیل وجود اطلاعات بالقوه حساس بر روی آنها به‌طور مستمر هدف مهاجمان قرار می‌گیرند. ضمن اینکه بستر مناسبی برای توزیع بدافزارها در سطح شبکه هستند. به‌خصوص آن‌که معمولاً از این تجهیزات برای نگهداری نسخ پشتیبان و به‌اشتراک‌گذاری فایل‌ها میان کاربران استفاده می‌شود.
در ماه اکتبر هم QNAP هشدار داد که برخی نسخ QTS در صورتی که دستگاه NAS میزبان آنها به‌عنوان Domain Controller تعریف شده باشد نسبت به ضعف امنیتی "حیاتی" ZeroLogon آسیب‌پذیر هستند.
در سپتامبر نیز این شرکت به مشتریان خود هشدار داد که مهاجمان در جریان حمله‌ای باج‌افزاری در حال بهره‌جویی از نسخ قدیمی Photo Station بر روی این تجهیزات و آلوده کردن دستگاه به AgeLocker هستند.
در آگوست آزمایشگاه 360Netlab اعلام کرد که مهاجمان با پویش دستگاه‌های NAS با ثابت‌افزار آسیب‌پذیر اقدام به بهره‌جویی از ضعف‌هایی می‌کنند که بیش از سه سال از عرضه اصلاحیه برای آنها می‌گذرد.

منبع:

https://www.bleepingcomputer.com/news/security/qnap-fixes-high-severity-qts-qes-and-quts-hero-vulnerabilities/

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)شبکه گستر