QNAP บริษัทผู้พัฒนาอุปกรณ์จัดเก็บข้อมูลแบบเชื่อมต่อเครือข่าย (NAS) ได้ประกาศแก้ไขช่องโหว่ใน rsync จำนวน 6 รายการ ที่อาจเปิดช่องให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ NAS ที่ยังไม่ได้รับการอัปเดต
Rsync เป็นเครื่องมือซิงโครไนซ์ไฟล์แบบโอเพนซอร์สที่ได้รับความนิยม ซึ่งรองรับการซิงค์ไฟล์โดยตรงผ่าน daemon, การถ่ายโอนผ่าน SSH และการถ่ายโอนแบบเพิ่มทีละส่วน (incremental transfers) ที่ช่วยประหยัดเวลาและแบนด์วิธ โดยเครื่องมือนี้ถูกใช้งานอย่างกว้างขวางในโซลูชันสำรองข้อมูล เช่น Rclone, DeltaCopy และ ChronoSync รวมถึงในงานบริหารจัดการเซิร์ฟเวอร์, คลาวด์ และการแจกจ่ายไฟล์สาธารณะ
ช่องโหว่ทั้ง 6 รายการถูกติดตามภายใต้รหัส CVE ดังนี้:
- CVE-2024-12084: Heap buffer overflow
- CVE-2024-12085: การรั่วไหลของข้อมูลผ่าน stack ที่ไม่ได้กำหนดค่าเริ่มต้น
- CVE-2024-12086: เซิร์ฟเวอร์รั่วไหล
- CVE-2024-12087: การเข้าถึงไฟล์โดยไม่ได้รับอนุญาตผ่านตัวเลือก –inc-recursive
- CVE-2024-12088: การหลีกเลี่ยงตัวเลือก –safe-links
- CVE-2024-12747: Race condition ใน symbolic link
QNAP ระบุว่าช่องโหว่เหล่านี้ส่งผลกระทบต่อ HBS 3 Hybrid Backup Sync 25.1.x ซึ่งเป็นโซลูชันสำหรับการสำรองข้อมูลและการกู้คืนข้อมูลของบริษัท ที่รองรับการใช้งานกับพื้นที่จัดเก็บข้อมูลในเครื่อง, ระยะไกล และบริการคลาวด์
ในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันพฤหัสบดีที่ผ่านมา QNAP ได้ประกาศว่าได้แก้ไขช่องโหว่เหล่านี้ใน HBS 3 Hybrid Backup Sync เวอร์ชัน 25.1.4.952 แล้ว และได้แนะนำให้ผู้ใช้งานทำการอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดทันที เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นจากการโจมตี
รายละเอียด – BPC
