کشف آسیب‌پذیری بحرانی در سیستم‌عامل‌های QuTS hero h وQTS

کشف آسیب‌پذیری بحرانی در سیستم‌عامل‌های QuTS hero h وQTS

تاریخ ایجاد

 مقدمه
یک آسیب پذیری باشناسه CVE-2022-27596 و شدت بحرانی (9.8) در سیستم عامل‌های QTS 5.0.1 و QuTS hero h5.0.1 مربوط به دستگاه QNAP گزارش شده که نسخه وصله شده آن نیز منتشر شده است. 
جزئیات آسیب‌پذیری
با سوء استفاده از این آسیب‌پذیری مهاجم می‌تواند از راه دور کدهای مخرب دلخواه خود را به سیستم قربانی تزریق کند. این آسیب‌پذیری دارای بردار حمله AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H می‌باشد و بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N). سوء‌استفاده از این آسیب‌پذیری نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوء‌استفاده از آسیب‌پذیری مذکور بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U) و در بدترین شرایط، با سوء‌استفاده از آن، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
سیستم‌عامل‌های 5.0.1QTS  و 5.0.1QuTS hero h  مربوط به دستگاه QNAP تحت تأثیر این آسیب‌پذیری قرار می‌گیرند.
توصیه‌های امنیتی
این آسیب‌پذیری در دو نسخه از سیستم‌عامل‌های QTS و QuTS hero رفع شده است که عبارتند از:

 و نسخه‌های بعدی QuTS hero h5.0.1.2248 build 20221215
 و نسخه‌های بعدی QTS 5.0.1.2234 build 20221201

لذا به کاربران توصیه می‌شود در اسرع وقت از طریق مسیر زیر، نسبت به به‌روزرسانی سیستم خود اقدام کنند:
با سطح دسترسی ادمین به QTS و QuTS hero وارد شوید و به مسیر زیر بروید:

Control Panel > System > Firmware Update

سپس در قسمت Live Update، روی Check for Update کلیک کنید و آخرین به روزرسانی موجود برای QTS یا QuTS hero را دانلود و نصب کنید. شما همچنین می‌توانید به‌روزرسانی‌های منتشر شده را از آدرس ذیل دانلود کنید:

https://www.qnap.com/en/download

Support > Download Center

منابع خبر