เมื่อวันพุธที่ผ่านมา ทาง QNAP ได้ประกาศรายละเอียดของช่องโหว่ 2 รายการที่กระทบกับระบบปฏิบัติการ QTS ที่ทำงานบนอุปกรณ์สตอเรจที่เชื่อมต่อเน็ตเวิร์กของตนเอง ซึ่งมีโอกาสทำให้โดนผู้ไม่หวังดีเข้ามารันคำสั่งโดยไม่ได้รับอนุญาตได้
บั๊กดังกล่าวสามารถเข้ามาโจมตีได้จากระยะไกล กระทบกับซอฟต์แวร์เวอร์ชั่นที่ปล่อยออกมาก่อนวันที่ 8 กันยายน 2020 อย่างไรก็ตาม ทางผู้ผลิตอุปกรณ์ NAS รายนี้ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับปัญหา 2 รายการดังกล่าว
โดยระบุเพียงว่า QTS เวอร์ชั่นล่าสุดที่ปล่อยออกมามีแพ็ตช์ที่จำเป็นมาให้เรียบร้อยด้วยแล้ว ซึ่งตามประกาศคำแนะนำด้านความปลอดภัยของทาง QNAP นั้น ผู้ใช้ที่ได้อัพเดทระบบปฏิบัติการ QTS มาเป็นเวอร์ชั่น 4.4.3.1421 build 20200907 หรือใหม่กว่าไม่ต้องกังวลแต่อย่างใด
ช่องว่างทั้ง 2 รายการนั้นอยู่ภายใต้รหัส CVE-2020-2490 และ CVE-2020-2492 ถูกจัดในกลุ่มช่องโหว่แบบที่เปิดให้ฝังคำสั่งเข้ามาในระบบได้ แม้ตอนนี้รายละเอียดกลไกการเจาะช่องโหวเหล่านี้ หรือองค์ประกอบใดบนโอเอสที่มีช่องโหว่จะยังไม่ชัดเจน
แต่โดยทั่วไปแล้ว การที่ปล่อยให้รันคำสั่งบนระบบได้ก็มักเทียบเท่าการเปิดให้ผู้อื่นเข้าควบคุมอุปกรณ์ทั้งหมดได้ด้วย ซึ่งฟีเจอร์ของระบบปฏิบัติการ QTS มีมากกว่าแค่อำนวยความสะดวกในการแชร์ไฟล์ จัดการสตอเรจ และแบ๊กอัพ
โดยยังสามารถปล่อยให้ติดตั้งแอปพลิเคชันจาก QNAP App Center เพื่อขยายฟังก์ชั่นการทำงานของอุปกรณ์ NAS ให้ครอบคลุมการเป็นอุปกรณ์ใช้งานทางธุรกิจ และสร้างความบันเทิงตามบ้านด้วย กลุ่มธุรกิจขนาดเล็กทั่วไปมักใช้อุปกรณ์นี้ในการสำรองและแชร์ไฟล์เป็นหลัก
ดังนั้นการปล่อยให้ระบบปฏิบัติการไม่ได้รับการอัพเดทจนมีช่องโหว่ก็จะเปิดช่องให้ผู้โจมตีเข้าเจาะระบบบนอุปกรณ์สตอเรจด้วยมัลแวร์หลายชนิด ทั้งนี้เมื่อกันยายนที่ผ่านมา QNAP เคยประกาศเตือนว่าแรนซั่มแวร์จ้องโจมตีผลิตภัณฑ์ NAS ของตัวเองมาแล้ว
ที่มา : Bleepingcomputers
