شرکت QNAP ضمن انتشار یک بولتن امنیتی، توضیحاتی را درباره چندین آسیبپذیری از جمله سه نقص امنیتی بحرانی ارائه داده و توصیه کرده است که کاربران باید در اسرع وقت این موارد را رفع کنند.
دو آسیبپذیری نخست، مربوط به نرمافزار QNAP Notes Station 3 است که در سیستمهای NAS این شرکت استفاده میشود:
CVE-2024-38643: عدم احراز هویت برای عملکردهای مهم که میتواند به مهاجمان غیرمجاز امکان دسترسی از راه دور و اجرای برخی از دستورات سیستم را بدهد. نبود مکانیزمهای احراز هویت مناسب به مهاجمان اجازه میدهد بدون داشتن اعتبارنامه، از این نقص سوءاستفاده کنند و موجب به خطر افتادن سیستم شوند (CVSS 9.3).
CVE-2024-38645: آسیبپذیری Server-Side Request Forgery (SSRF) که میتواند به مهاجمان امکان ارسال درخواستهای ساختگی برای دستکاری رفتار سرور را از راه دور بدهد و اطلاعات حساس برنامه را فاش کند (CVSS 9.4).
این دو مشکل در نسخه 3.9.7 برنامه Notes Station 3 رفع شدهاند و QNAP به کاربران توصیه میکند برای کاهش خطر، به این نسخه یا نسخههای جدیدتر بهروزرسانی کنند. دستورالعمل بهروزرسانی در بولتن مربوطه ارائه شده است: https://www.qnap.com/en-us/security-advisory/qsa-24-36
دو آسیبپذیری دیگر که در این برنامه شناسایی شدهاند، CVE-2024-38644 و CVE-2024-38646 هستند (8.7 و 8.4 CVSS). این مشکلات میتوانند منجر به تزریق دستورات و دسترسی غیرمجاز به دادهها گردند.
سومین نقص بحرانی که QNAP به آن پرداخته است CVE-2024-48860 (CVSS 9.5) بوده که محصولات QuRouter نسخه 2.4.x را تحت تأثیر قرار میدهد. این نقص، یک آسیبپذیری تزریق دستورات سیستمعامل است که میتواند از راه دور، به مهاجمان امکان اجرای دستورات را بدهد.
همچنین، مشکل دیگری با شدت کمتر تحت عنوان CVE-2024-48861 (CVSS 7.3) که به تزریق دستورات مربوط است، برطرف شده است. هر دو مشکل در نسخه 2.4.3.106 QuRouter رفع شدهاند.
محصولات دیگری که بهروزرسانیهای مهمی دریافت کردهاند شامل QNAP AI Core (موتور هوش مصنوعی)، QuLog Center (ابزار مدیریت گزارشها)، QTS (سیستمعامل استاندارد دستگاههای NAS) و QuTS Hero (نسخه پیشرفته QTS) هستند.
QNAP به مشتریان خود به شدت توصیه میکند که این بهروزرسانیها را هر چه سریعتر نصب کنند تا در برابر حملات احتمالی محافظت شوند. همچنین، طبق روال همیشگی، دستگاههای QNAP نباید به صورت مستقیم به اینترنت متصل شوند و بهتر است برای جلوگیری از سوءاستفادههای راه دور، از طریق یک VPN پیادهسازی شوند.