نماد سایت اتاق خبر شبکه گستر

ترمیم یک ضعف امنیتی با شدت بالا در تجهیزات کیونپ

شرکت کیونپ (QNAP Systems) با انتشار توصیه‌نامه امنیتی نسبت به وجود آسیب‌پذیری با شناسه CVE-2023-22809 در محصولات NAS ساخت این شرکت هشدار داده است.

آسیب‌پذیری CVE-2023-22809 دارای درجه اهمیت «بالا» (High) بوده و نسخه Sudo 1.9.12p1 را تحت تاثیر قرار می‌دهد. سوءاستفاده از این آسیب‌پذیری‌ منجر به دور زدن سازوکار حفاظتی Sudo به هنگام استفاده از sudoedit می‌شود. مهاجم با سوءاستفاده از این ضعف امنیتی در دستگاه‌های وصله‌نشده، قادر به درج ورودی‌های دلخواه در لیست فایل‌های مورد پردازش و ویرایش غیرمجاز فایل‌ها خواهد بود.

کیونپ از مشتریان خود درخواست کرده که در اسرع وقت نسبت به به‌روزرسانی محصولات و وصله این ضعف امنیتی اقدام نمایند.

این شرکت تایوانی با انتشار این به‌روزرسانی، این آسیب‌پذیری را در سیستم‌های عامل QTS و QuTS برطرف کرده است اما همچنان درحال ترمیم این ضعف و ارائه به‌روزرسانی‌های امنیتی برای سیستم‌های عامل QuTScloud و QVP می‌باشد.

کیونپ هشدار داده است که کاربران تجهیزات QNAP به‌طور مرتب، توصیه‌نامه زیر را برای ارائه به‌روزرسانی‌های جدید بررسی نمایند و به‌محض موجود شدن، سیستم‌عامل خود را به‌سرعت به آخرین نسخه توصیه‌شده به‌روزرسانی نمایند:

https://www.qnap.com/en/security-advisory/qsa-23-11

نحوه به‌روزرسانی تجهیزات شرکت کیونپ

راهبران این تجهیزات جهت به‌روزرسانی و وصله CVE-2023-22809، می‌توانند در مسیر زیر بر روی گزینه «Check for Update» در بخش «Live Update» کلیک نمایند:

Control Panel > System > Firmware Update

همچنین می‌توان پس از انتخاب نوع محصول و مدل دستگاه، نسخه جدید سیستم عامل را از Download Center دریافت و به‌روزرسانی‌ را به صورت دستی اعمال نمود.

گرچه این شرکت تاکنون موردی را مبنی بر سوءاستفاه از آسیب‌پذیری CVE-2023-22809 گزارش نکرده است، با این حال، به دلیل درجه حساسیت بالای این ضعف امنیتی، به مشتریان توصیه می‌شود که به‌روزرسانی‌های امنیتی موجود را در اسرع وقت اعمال نمایند، زیرا مهاجمان فعالانه آسیب‌پذیری‌های امنیتی QNAP NAS را مورد هدف قرار می‌دهند.

در سال‌های اخیر تجهیزات NAS ساخت شرکت کیونپ به کرات هدف حملات سایبری از جمله حملات باج‌افزارهایی نظیر DeadBolt و eCh0raix قرار گرفته‌اند؛ این باج‌افزارها از آسیب‌پذیری‌های موجود در تجهیزات NAS ساخت کیونپ برای رمزگذاری فایل‌های ذخیره شده بر روی آنها سوءاستفاده می‌کنند.

جزئیات بیشتر ضعف امنیتی CVE-2023-22809 در نشانی زیر قابل دریافت و مطالعه می‌باشد:

https://www.synacktiv.com/sites/default/files/2023-01/sudo-CVE-2023-22809.pdf

خروج از نسخه موبایل