March 29, 2024

พบช่องโหว่ “Dirty Pipe” บนลีนุกซ์ ในอุปกรณ์ QNAP NAS หลายรุ่น

ผู้ผลิตอุปกรณ์สตอเรจแบบเชื่อมต่อเน็ตเวิร์ก (NAS) อย่าง QNAP ได้ออกมาแจ้งเตือนเมื่อวันจันทร์ว่า ให้ระวังช่องโหว่บนลีนุกซ์ที่เพิ่งถูกเปิดเผยต่อสาธารณะที่กระทบกับอุปกรณ์ของตัวเอง ซึ่งอาจถูกนำไปใช้ในการยกระดับสิทธิ์ใช้งาน และเข้าควบคุมระบบเป้าหมายได้

โดยบริษัทกล่าวว่า “ช่องโหว่สำหรับยกระดับสิทธิ์ผู้ใช้บนเครื่องปัจจุบันที่ชื่อว่า Dirty Pipe นี้ มีรายงานว่าพบบนเคอร์เนลลีนุกซ์บนอุปกรณ์ QNAP NAS ที่รันซอฟต์แวร์ QTS 5.0.x และ QuTS hero h5.0.x ซึ่งถ้าถูกเจาะแล้ว จะเปิดให้ผู้ใช้ได้สิทธิ์ถึงระดับแอดมินเพื่อทำการฝังโค้ดอันตราย”

บริษัทสัญชาติไต้หวันรายนี้ยังย้ำด้วยว่า ตัวเองกำลังไล่ตรวจสอบผลิตภัณฑ์ของตัวเอง ซึ่ง ณ ตอนนี้ ยังไม่เจอ QNAP NAS ที่รัน QTS 4.x ตัวไหนที่ไม่มีช่องโหว่ Dirty Pipe นี้เลย ช่องโหว่นี้อยู่ภายใต้รหัส CVE-2022-0847 (CVSS score: 7.8) เปิดให้ผู้โจมตีเขียนข้อมูลทับลงบนไฟล์ Read-only

รวมทั้งเปิดให้เข้าควบคุมเครื่องเป้าหมายที่มีช่องโหว่ ซึ่งปัญหานี้ได้รับการแก้ไขแล้วบนลีนุกซ์เวอร์ชั่น .16.11, 5.15.25, และ 5.10.102 เมื่อ 23 กุมภาพันธ์ 2022 ที่ผ่านมา ให้หลังสามวันหลังจากมีการรายงานข้อมูลช่องโหว่ไปยังทีมงานด้านความปลอดภัยของเคอร์เนลลีนุกซ์

อ่านเพิ่มเติมที่นี่ – THN