नेटवर्क अटैच्ड स्टोरेज (एनएएस) उपकरणों के लिए कई गुणवत्ता नेटवर्क उपकरण प्रदाता (क्यूएनएपी) ऑपरेटिंग सिस्टम (ओएस) में शून्य-दिन की कमजोरियों की एक जोड़ी दुनिया भर में अनुमानित 80,000 उपकरणों को प्रभावित कर रही है। वे चार प्रभावित ओएस में से दो के लिए अप्रकाशित रहते हैं।
QNAP इंटरनेट ऑफ थिंग्स (IoT) स्टोरेज, नेटवर्किंग और स्मार्ट वीडियो के लिए गियर और सॉफ्टवेयर प्रदान करता है। स्टर्नम के शोधकर्ताओं द्वारा खोजे गए ओएस बग मेमोरी एक्सेस उल्लंघन हैं, जो अस्थिर कोड का कारण बन सकते हैं और एक प्रमाणित साइबर अपराधी को मनमाना कोड निष्पादित करने का मार्ग प्रदान कर सकते हैं।
CVE-2022-27597 और CVE-2022-27598 के तहत ट्रैक की गई कमजोरियाँ QTS, QuTS हीरो, QuTScloud और QVP OS को प्रभावित करती हैं। स्टर्नम के अनुसार, और QTS संस्करण 5.0.1.2346 बिल्ड 20230322 (और बाद में) और QuTS हीरो संस्करण h5.0.1.2348 बिल्ड 20230324 (और बाद में) में तय किया गया है। QuTScloud और QVP OS को पैच नहीं किया गया है, लेकिन QNAP ने कहा कि वह खामियों को "तत्काल ठीक" कर रहा है।
स्टर्नम शोधकर्ता बताते हैं कि मेमोरी एक्सेस उल्लंघन प्रदर्शन के साथ-साथ QNAP उपकरणों की सुरक्षा को भी प्रभावित करते हैं।
"प्रदर्शन के दृष्टिकोण से, वे स्थिरता के मुद्दों और अप्रत्याशित कोड व्यवहार को जन्म दे सकते हैं," स्टर्नम के अनुसंधान सुरक्षा निदेशक अमित सर्पर ने डार्क रीडिंग को निष्कर्षों के बारे में बताया। "सुरक्षा के दृष्टिकोण से, उनका उपयोग किसी दुर्भावनापूर्ण ख़तरे वाले अभिनेता द्वारा मनमाने कोड निष्पादन के लिए किया जा सकता है।"
RSI QNAP सुरक्षा सलाह आगे कहते हैं, "यदि शोषण किया जाता है, तो भेद्यता दूरस्थ प्रमाणित उपयोगकर्ताओं को गुप्त मान प्राप्त करने की अनुमति देती है।"
जबकि बग को "कम-गंभीरता" का दर्जा दिया गया है, और अब तक, स्टर्नम के शोधकर्ताओं ने उन्हें जंगल में शोषण करते नहीं देखा है, जल्दी से पैच लगाना मायने रखता है - QNAP उपयोगकर्ता साइबर अपराधियों के बीच यह पसंदीदा लक्ष्य बना हुआ है।
QNAP साइबर हमलावर कैटनीप क्यों है?
RSI डेडबोल्ट रैंसमवेयर समूह विशेष रूप से शून्य-दिन की कमजोरियों की श्रृंखला का दोहन करते हुए देखा गया QNAP के विरुद्ध व्यापक साइबर अभियान अकेले 2022 में उपयोगकर्ता, मई में नियमित रूप से सतह पर आना, जून और सितंबर..
वल्कन साइबर के वरिष्ठ तकनीकी इंजीनियर मार्क पार्किन के अनुसार, डेडबोल्ट स्पष्ट रूप से QNAP खामियों को खोजने और उनका दोहन करने में प्रयास करने में विफल रहा है, अधिमानतः महत्वपूर्ण शून्य-दिन।
पार्किन बताते हैं, "कभी-कभी यह कहा जाता है कि किसी लक्ष्य में एक भेद्यता खोजने से लोग और अधिक की तलाश में लग जाएंगे।" “यहाँ मुद्दा यह है कि वे जितना देख रहे हैं उससे कहीं अधिक पा रहे हैं। यह आपको लगभग आश्चर्यचकित कर देता है कि क्या हमलावरों के पास स्रोत कोड तक पहुंच नहीं है, या अंदरूनी ट्रैक प्राप्त करने का कोई अन्य तरीका नहीं है।
मिलीभगत के संदेह को छोड़ दें, तो यह संगठनों पर निर्भर है कि वे सुनिश्चित करें कि उनके अत्यधिक लक्षित QNAP सिस्टम अद्यतित हैं, विशेष रूप से यह देखते हुए कि कुछ आवृत्ति के साथ नए बग प्रकाश में आ रहे हैं। फरवरी में स्टर्नम के नवीनतम निष्कर्षों के अलावा, के उपयोगकर्ता क्यूएनएपी क्यूटीएस ओएस 9.8 के सीवीएसएस स्कोर के साथ एक गंभीर एसक्यूएल इंजेक्शन समस्या के प्रति सचेत किया गया था। इन खुलासों से हमले की सतह और भी चौड़ी हो गई है।
सबसे हालिया कमजोरियों के मामले में, बिना पैच उपलब्ध सिस्टम वाले उपयोगकर्ताओं को एक मजबूत एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) समाधान का उपयोग करना चाहिए और समझौता के संकेतकों की तलाश करनी चाहिए। क्योंकि साइबर हमलावरों को प्रमाणित करने की आवश्यकता होगी, कमजोर सिस्टम तक पहुंच रखने वाले लोगों का ऑडिट करने और अतिरिक्त प्रमाणीकरण सुरक्षा प्रदान करने से भी हमले को कम करने में मदद मिल सकती है।
एक शोधकर्ता ने चेतावनी दी है कि ऐसे मामलों में भी जहां पैच उपलब्ध हैं, वास्तव में उपकरणों को बंद करने के लिए कुछ कंपनियों की मानसिकता में बदलाव की आवश्यकता हो सकती है।
"क्यूएनएपी उपकरण साइबर अपराधियों के लिए बहुत आकर्षक हैं जिनकी रणनीति बड़ी संख्या में पीड़ितों से थोड़ी सी रकम मांगने की है,'' वियाकू के सीईओ बड ब्रूमहेड कहते हैं। "क्योंकि QNAP डिवाइस, कई अन्य IoT डिवाइसों के साथ, बड़े पैमाने पर IT के बाहर प्रबंधित किए जाते हैं, उन्हें अक्सर गलत तरीके से कॉन्फ़िगर किया जाता है, फ़ायरवॉल द्वारा असुरक्षित छोड़ दिया जाता है, और बिना पैच किए छोड़ दिया जाता है।
वह कहते हैं, "ये उपकरण अक्सर कॉर्पोरेट आईटी और सुरक्षा टीमों के लिए अदृश्य होते हैं और जब वे अनुपालन से बाहर हो जाते हैं, जैसे कि पुराने और असुरक्षित फर्मवेयर पर होने पर उनका ऑडिट या निरीक्षण नहीं किया जाता है।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/vulnerabilities-threats/qnap-zero-days-80k-devices-vulnerable-cyberattack
- :है
- $यूपी
- 000
- 1
- 2022
- 7
- 8
- 9
- a
- About
- पहुँच
- अनुसार
- इसके अलावा
- अतिरिक्त
- जोड़ता है
- के खिलाफ
- की अनुमति देता है
- अकेला
- के बीच में
- राशि
- और
- उपकरणों
- हैं
- AS
- At
- आक्रमण
- आकर्षक
- आडिट
- अंकेक्षित
- प्रमाणीकृत
- प्रमाणीकरण
- उपलब्ध
- BE
- क्योंकि
- जा रहा है
- कीड़े
- निर्माण
- by
- कर सकते हैं
- मामला
- मामलों
- कारण
- मुख्य कार्यपालक अधिकारी
- स्पष्ट रूप से
- कोड
- अ रहे है
- कंपनियों
- अनुपालन
- समझौता
- जारी रखने के
- कॉर्पोरेट
- सका
- महत्वपूर्ण
- साइबर
- साइबर हमला
- साइबर अपराधी
- साइबर अपराधी
- अंधेरा
- डार्क रीडिंग
- तारीख
- मृत
- खोज
- डिवाइस
- निदेशक
- की खोज
- कर
- नीचे
- प्रयास
- endpoint
- इंजीनियर
- विशेष रूप से
- अनुमानित
- और भी
- निष्पादित
- निष्पादन
- समझाना
- बताते हैं
- शोषित
- गिरना
- पसंदीदा
- फरवरी
- खोज
- फायरवॉल
- तय
- खामियां
- के लिए
- आवृत्ति
- से
- आगे
- गियर
- मिल
- मिल रहा
- दी
- है
- मदद
- यहाँ उत्पन्न करें
- नायक
- अत्यधिक
- HTTPS
- प्रभाव
- असर पड़ा
- in
- संकेतक
- इंटरनेट
- चीजों की इंटरनेट
- IOT
- iot उपकरण
- मुद्दा
- मुद्दों
- IT
- बड़ा
- बड़े पैमाने पर
- नेतृत्व
- छोड़ना
- प्रकाश
- देखिए
- देख
- बनाना
- बनाता है
- कामयाब
- बहुत
- निशान
- मैटर्स
- अधिकतम-चौड़ाई
- याद
- हो सकता है
- मानसिकता
- कम करना
- धन
- अधिक
- अधिकांश
- आवश्यकता
- नेटवर्क
- शुद्ध कार्यशील
- नया
- संख्या
- of
- on
- ONE
- परिचालन
- ऑपरेटिंग सिस्टम
- संगठनों
- OS
- अन्य
- बाहर
- पैच
- पैच
- पथ
- स्टाफ़
- प्रदर्शन
- परिप्रेक्ष्य
- चित्र
- जगह
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बिन्दु
- पॉइंट ऑफ व्यू
- सुरक्षा
- प्रदान करना
- प्रदाता
- प्रदान करता है
- प्रदान कर
- लाना
- QNAP
- गुणवत्ता
- जल्दी से
- रेंज
- Ransomware
- पढ़ना
- हाल
- नियमित तौर पर
- रहना
- दूरस्थ
- की आवश्यकता होती है
- अनुसंधान
- शोधकर्ता
- शोधकर्ताओं
- प्रतिक्रिया
- s
- कहा
- कहते हैं
- स्कोर
- गुप्त
- सुरक्षा
- वरिष्ठ
- सितंबर
- कई
- सेट
- कई
- पाली
- चाहिए
- छोटा
- स्मार्ट
- So
- अब तक
- सॉफ्टवेयर
- समाधान
- कुछ
- स्रोत
- स्रोत कोड
- स्थिरता
- भंडारण
- स्ट्रेटेजी
- मजबूत
- ऐसा
- सतह
- सिस्टम
- लक्ष्य
- लक्षित
- टीमों
- तकनीकी
- बताता है
- कि
- RSI
- स्रोत
- लेकिन हाल ही
- उन
- इन
- चीज़ें
- धमकी
- सेवा मेरे
- ट्रैक
- के अंतर्गत
- अप्रत्याशित
- उपयोगकर्ताओं
- मान
- संस्करण
- शिकार
- वीडियो
- देखें
- उल्लंघन
- वालकैन
- कमजोरियों
- भेद्यता
- चपेट में
- चेतावनी दी है
- मार्ग..
- कुंआ
- कौन कौन से
- कौन
- जंगली
- मर्जी
- साथ में
- बिना
- दुनिया भर
- होगा
- आप
- जेफिरनेट
- शून्य-दिवस भेद्यता