شرکت QNAP ضمن انتشار یک بولتن امنیتی، توضیحاتی را درباره چندین آسیب‌پذیری از جمله سه نقص امنیتی بحرانی ارائه داده و توصیه کرده است که کاربران باید در اسرع وقت این موارد را رفع کنند.

 دو آسیب‌پذیری نخست، مربوط به نرم‌افزار QNAP Notes Station 3 است که در سیستم‌های NAS این شرکت استفاده می‌شود:

CVE-2024-38643: عدم احراز هویت برای عملکردهای مهم که می‌تواند به مهاجمان غیرمجاز امکان دسترسی از راه دور و اجرای برخی از دستورات سیستم را بدهد. نبود مکانیزم‌های احراز هویت مناسب به مهاجمان اجازه می‌دهد بدون داشتن اعتبارنامه، از این نقص سوءاستفاده کنند و موجب به خطر افتادن سیستم شوند (CVSS 9.3).

CVE-2024-38645: آسیب‌پذیری Server-Side Request Forgery (SSRF) که می‌تواند به مهاجمان امکان ارسال درخواست‌های ساختگی برای دستکاری رفتار سرور را از راه دور بدهد و اطلاعات حساس برنامه را فاش کند (CVSS 9.4).

این دو مشکل در نسخه 3.9.7 برنامه Notes Station 3 رفع شده‌اند و QNAP به کاربران توصیه می‌کند برای کاهش خطر، به این نسخه یا نسخه‌های جدیدتر به‌روزرسانی کنند. دستورالعمل به‌روزرسانی در بولتن مربوطه ارائه شده است: https://www.qnap.com/en-us/security-advisory/qsa-24-36

دو آسیب‌پذیری دیگر که در این برنامه شناسایی شده‌اند، CVE-2024-38644 و CVE-2024-38646 هستند (8.7 و 8.4 CVSS). این مشکلات می‌توانند منجر به تزریق دستورات و دسترسی غیرمجاز به داده‌ها گردند.

سومین نقص بحرانی که QNAP به آن پرداخته است CVE-2024-48860 (CVSS 9.5) بوده که محصولات QuRouter نسخه 2.4.x را تحت تأثیر قرار می‌دهد. این نقص، یک آسیب‌پذیری تزریق دستورات سیستم‌عامل است که می‌تواند از راه دور، به مهاجمان امکان اجرای دستورات را بدهد.

همچنین، مشکل دیگری با شدت کمتر تحت عنوان CVE-2024-48861 (CVSS 7.3) که به تزریق دستورات مربوط است، برطرف شده است. هر دو مشکل در نسخه 2.4.3.106 QuRouter رفع شده‌اند.

محصولات دیگری که به‌روزرسانی‌های مهمی دریافت کرده‌اند شامل QNAP AI Core (موتور هوش مصنوعی)، QuLog Center (ابزار مدیریت گزارش‌ها)، QTS (سیستم‌عامل استاندارد دستگاه‌های NAS) و QuTS Hero (نسخه پیشرفته QTS) هستند.

QNAP به مشتریان خود به شدت توصیه می‌کند که این به‌روزرسانی‌ها را هر چه سریع‌تر نصب کنند تا در برابر حملات احتمالی محافظت شوند. همچنین، طبق روال همیشگی، دستگاه‌های QNAP نباید به صورت مستقیم به اینترنت متصل شوند و بهتر است برای جلوگیری از سوءاستفاده‌های راه دور، از طریق یک VPN پیاده‌سازی شوند.