يُصدر بائع NAS الشهير تصحيحًا طارئًا ضد الثغرات الأمنية التي قد تكون ضارة للغاية – إليك ما تحتاج إلى معرفته – TechToday
النشرة الإخبارية
Sed ut perspiciatis unde.
أصدرت QNAP Systems، الشركة الموردة لـ NAS، تصحيحات عاجلة لما لا يقل عن 24 نقطة ضعف عبر مجموعة منتجاتها، بما في ذلك عيبين شديدي الخطورة يمكن أن يتيحان تنفيذ الأوامر.
على الرغم من خطورة هذه الثغرات الأمنية، لم تبلغ QNAP عن أي حالات لاستغلال هذه الأخطاء في البرية. تعد خطوة الشركة التي يوجد مقرها في تايوان بمثابة إجراء استباقي ضد عمليات الاستغلال التي قد تكون ضارة للغاية.
وفقًا لـ Security Week، فإن الثغرات الأمنية الأكثر إثارة للقلق، والتي يشار إليها باسم CVE-2023-45025 وCVE-2023-39297، هي عيوب حقن أوامر نظام التشغيل. هذه العيوب موجودة في إصدارات QTS 5.1.x و4.5.x، وإصدارات QuTS البطل h5.1.x وh4.5.x، وإصدار QuTScloud 5.x. يمكن للمستخدمين التلاعب بالأول منهما لتنفيذ الأوامر عبر الشبكة ضمن تكوينات نظام معينة، بينما يتطلب الثاني المصادقة من أجل الاستغلال الناجح.
التصحيح الآن!
أصدرت QNAP أيضًا تصحيحات لاثنين من نقاط الضعف الإضافية، CVE-2023-47567 وCVE-2023-47568. توجد هذه العيوب القابلة للاستغلال عن بعد في QTS وQuTS Hero وQuTScloud وتتطلب مصادقة المسؤول لاستغلالها بنجاح. الأول عبارة عن ثغرة أمنية في حقن أوامر نظام التشغيل، في حين أن الأخير عبارة عن ثغرة أمنية في حقن SQL.
تمت معالجة جميع هذه العيوب الأمنية الأربعة في أحدث إصدارات QTS وQuTS Hero وQuTScloud. تم أيضًا تصحيح ثغرة أمنية أخرى عالية الخطورة، وهي CVE-2023-47564، والتي تؤثر على إصدارات Qsync Central 4.4.x و4.3.x. قد يسمح هذا الخطأ للمستخدمين المعتمدين بقراءة الموارد الهامة أو تعديلها عبر الشبكة.
بالإضافة إلى هذه العيوب عالية الخطورة، قامت QNAP بتصحيح العديد من نقاط الضعف متوسطة الخطورة التي يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية، وهجمات DoS، وتنفيذ الأوامر، وتجاوز القيود، وتسرب البيانات الحساسة، وحقن التعليمات البرمجية.
للحصول على معلومات أكثر تفصيلاً حول نقاط الضعف هذه، يُنصح المستخدمون بزيارة صفحة النصائح الأمنية الخاصة بـ QNAP.