مقدمه
یک آسیب پذیری باشناسه CVE-2022-27596 و شدت بحرانی (9.8) در سیستم عاملهای QTS 5.0.1 و QuTS hero h5.0.1 مربوط به دستگاه QNAP گزارش شده که نسخه وصله شده آن نیز منتشر شده است.
جزئیات آسیبپذیری
با سوء استفاده از این آسیبپذیری مهاجم میتواند از راه دور کدهای مخرب دلخواه خود را به سیستم قربانی تزریق کند. این آسیبپذیری دارای بردار حمله AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H میباشد و بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N). سوءاستفاده از این آسیبپذیری نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوءاستفاده از آسیبپذیری مذکور بر منابع مدیریتشده توسط سایر مراجع امنیتی تأثیر نمیگذارد (S:U) و در بدترین شرایط، با سوءاستفاده از آن، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار میگیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
سیستمعاملهای 5.0.1QTS و 5.0.1QuTS hero h مربوط به دستگاه QNAP تحت تأثیر این آسیبپذیری قرار میگیرند.
توصیههای امنیتی
این آسیبپذیری در دو نسخه از سیستمعاملهای QTS و QuTS hero رفع شده است که عبارتند از:
و نسخههای بعدی QuTS hero h5.0.1.2248 build 20221215
و نسخههای بعدی QTS 5.0.1.2234 build 20221201
لذا به کاربران توصیه میشود در اسرع وقت از طریق مسیر زیر، نسبت به بهروزرسانی سیستم خود اقدام کنند:
با سطح دسترسی ادمین به QTS و QuTS hero وارد شوید و به مسیر زیر بروید:
سپس در قسمت Live Update، روی Check for Update کلیک کنید و آخرین به روزرسانی موجود برای QTS یا QuTS hero را دانلود و نصب کنید. شما همچنین میتوانید بهروزرسانیهای منتشر شده را از آدرس ذیل دانلود کنید:
https://www.qnap.com/en/download
Support > Download Center
منابع خبر
- 125