Beberapa model lawas dari perangkat penyimpanan yang terpasang pada jaringan QNAP rentan terhadap serangan yang tidak diautentikasi dari jarak jauh karena dua kerentanan yang belum ditambal.
Dua bug zero-day yang kritis memengaruhi perangkat keras penyimpanan Sistem QNAP lama, dan mengekspos perangkat ke penyerang jarak jauh yang tidak diautentikasi.
Bug, yang dilacak sebagai CVE-2020-2509 dan CVE-2021-36195, memengaruhi perangkat keras penyimpanan terpasang jaringan (NAS) model TS-231 QNAP, memungkinkan penyerang memanipulasi data yang disimpan dan membajak perangkat. Kerentanan, juga memengaruhi beberapa perlengkapan QNAP NAS non-lama. Namun, penting untuk dicatat bahwa tambalan tersedia untuk perangkat keras NAS QNAP non-lawas.
Patch untuk perangkat NAS model TS-231 model QNAP yang sekarang sudah tidak digunakan, pertama kali dirilis pada tahun 2015, dijadwalkan akan dirilis dalam beberapa minggu, perwakilan QNAP mengatakan kepada Threatpost.
Patch untuk perangkat QNAP model saat ini perlu diunduh dari pusat unduhan QNAP dan diterapkan secara manual.
Kedua bug tersebut diungkapkan pada hari Rabu oleh peneliti SAM Seamless Network, yang merilis detail teknis terbatas. Pengungkapan tersebut dilakukan sebelum pengungkapan resmi QNAP kepada publik tentang kerentanan, dan sejalan dengan kebijakan pengungkapan SAM Seamless Network yang memberikan waktu tiga bulan kepada vendor untuk mengungkapkan detail kerentanan. Kedua kekurangan tersebut ditemukan dalam jangka waktu Oktober dan November 2020 dan dipublikasikan pada hari Rabu.
selengkapnya : threatpost.com
