کیونپ از وجود دو ضعف امنیتی در QTS (سیستم‌عامل محصولات ساخت این شرکت) خبر داده که بهره‌جویی (Exploit) از آن‌ها مهاجم را قادر به اجرای کدهای دلخواه و بالقوه حساس بر روی دستگاه آسیب‌پذیر می‌کند.
به گزارش معاونت بررسی مرکز افتا به نقل از سایت bleepingcomputer، آسیب‌پذیری‌های مذکور که به آن‌ها شناسه‌های CVE-۲۰۲۰-۲۴۹۰ و CVE-۲۰۲۰-۲۴۹۲ تخصیص داده شده هر دو از نوع “تزریق فرمان” (Command Injection) گزارش شده‌اند.
نسخ عرضه شده تا قبل از ۸ سپتامبر ۲۰۲۰ از این باگ‌ها که به‌صورت از راه دور قابل سوءاستفاده هستند متأثر می‌شوند. به عبارت دیگر QTS ۴,۴.۳.۱۴۲۱ Build ۲۰۲۰۰۹۰۷ و نسخ بعد از آن در برابر آسیب‌پذیری‌های مذکور ایمن هستند.
روشن نیست که مهاجم به چه طریق می‌تواند از ضعف‌های مذکور بهره‌جویی کند یا کدام اجزای سیستم‌عامل به آن‌ها آسیب‌پذیر هستند. اما به‌طور کلی فراهم بودن امکان اجرای کد عملا به‌معنای ممکن بودن تسخیر دستگاه توسط مهاجم است.
قابلیت‌های QTS فراتر از مهیا کردن بستری برای به‌اشتراک‌گذاری فایل‌ها، مدیریت ذخیره‌ساز و تهیه پشتیبان است. این سیستم‌عامل امکان نصب برنامه‌های قابل دسترس در انباره QNAP App Center را برای توسعه امکانات دستگاه در پوشش نیازهای کسب‌وکار و کاربران فراهم می‌کند.
کسب‌وکارهای کوچک معمولا از تجهیزات موسوم به “ذخیره‌ساز متصل به شبکه” (NAS) کیونپ برای ذخیره‌سازی نسخ پشتیبان و به‌اشتراک‌گذاری فایل استفاده می‌کنند. در دسترس بودن هر یک از این تجهیزات بر روی اینترنت – در صورت استفاده از نسخه‌ای آسیب‌پذیر از سیستم‌عامل –، مهاجم را قادر به آلوده‌سازی ذخیره‌ساز به انواع بدافزارها می‌کند.
کیونپ در سپتامبر به مشتریان خود در خصوص اجرای حمله باج‌افزاری به تجهیزات NAS ساخت این شرکت هشدار داد. در جریان حمله مذکور مهاجمان از یک آسیب‌پذیری در Photo Station که برنامه‌ای برای ارسال تصاویر بر روی دستگاه، ایجاد آلبوم و مشاهده آن‌ها به‌صورت از راه دور است سوءاستفاده می‌کردند.
به‌تازگی نیز این شرکت اشکالاتی را در برنامه Helpdesk خود برطرف کرد که بهره‌جویی از آن‌ها مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیب‌پذیر می‌کند.
بر طبق هشدار دیگری که حدود دو هفته قبل منتشر شد برخی نسخ QTS از ضعف امنیتی حیاتی Zerologon به شناسه CVE-۲۰۲۰-۱۴۷۲ در Windows نیز متأثر می‌شوند.
کاربران می‌توانند با مراجعه به سایت کیونپ نسبت به دریافت و نصب دستی به‌روزرسانی اقدام کنند. همچنین با دنبال کردن مراحل زیر نیز می‌توان آخرین به‌روزرسانی را بر روی دستگاه نصب و اعمال کرد:
۱-    با کاربری با سطح دسترسی administrator به QTS وارد شوید
۲-    به مسیر Control Panel > System > Firmware Update مراجعه کنید
۳-    در قسمت Live Update بر روی Check for Update کلیک کنید
مشروح توصیه‌نامه کیونپ در لینک زیر قابل دسترس و مطالعه است:

https://www.qnap.com/en/security-advisory/QSA-۲۰-۰۹

منبع:

https://www.bleepingcomputer.com/news/security/qnap-warns-of-new-qts-bugs-that-allow-take-over-of-devices/