Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

QNAP vá bảy lỗ hổng zero-day của NAS bị khai thác tại Pwn2Own

09:04 | 11/11/2025
Hồng Đạt

Ngày 7/11, QNAP đã khắc phục bảy lỗ hổng bảo mật zero-day mà các nhà nghiên cứu bảo mật đã khai thác thành công, để tấn công các thiết bị lưu trữ mạng (NAS) của hãng trong cuộc thi Pwn2Own Ireland 2025.

Các lỗ hổng này ảnh hưởng đến hệ điều hành QTS và QuTS hero (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849) của QNAP và phần mềm Hyper Data Protector (CVE-2025-59389), Malware Remover (CVE-2025-11837) và HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842) của công ty.

QNAP cho biết các lỗi bảo mật đã được nhóm Summoning Team, DEVCORE, Team DDOS và một thực tập sinh công nghệ CyCraft trình diễn tại Pwn2Own. Để vá những lỗ hổng này, QNAP khuyến nghị nên cập nhật phần mềm lên phiên bản mới nhất và thay đổi tất cả mật khẩu để tăng cường bảo mật.

Cụ thể, hãng đã khắc phục tất cả các lỗ hổng trong các phiên bản phần mềm sau:

- Hyper Data Protector 2.2.4.1 trở lên.

- Malware Remover 6.6.8.20251023 trở lên.

- HBS 3 Hybrid Backup Sync 26.2.0.938 trở lên.

- QTS 5.2.7.3297 bản build 20251024 trở lên

- QuTS hero h5.2.7.3297 bản build 20251024 trở lên

- QuTS hero h5.3.1.3292 bản build 20251024 trở lên

Người dùng muốn cập nhật hệ điều hành để đăng nhập vào QTS hoặc QuTS Hero với tư cách quản trị viên, nên vào Control Panel > System > Firmware Update và chọn “Check for Update” trong Live Update.

Để cập nhật các ứng dụng dễ bị tấn công, trước tiên hãy đăng nhập vào QTS hoặc QuTS hero với quyền quản trị viên, sau đó mở App Centervà nhấp vào nút tìm kiếm. Nhập tên ứng dụng bạn muốn cập nhật và ENTER. Trong kết quả tìm kiếm, chọn vào “Update”, sau đó xác nhận hành động bằng cách nhấp vào “OK” trên thông báo xác nhận xuất hiện.

“Để bảo mật thiết bị, chúng tôi khuyên bạn nên thường xuyên cập nhật hệ thống lên phiên bản mới nhất để nhận được các bản vá lỗ hổng. Bạn có thể kiểm tra trạng thái hỗ trợ sản phẩm để xem các bản cập nhật mới nhất có sẵn cho mẫu NAS của mình”, QNAP lưu ý.

Một năm trước, nhà sản xuất NAS đã vá hai lỗ hổng zero-day khác bị khai thác trong cuộc thi Pwn2Own Ireland 2024. Đầu tiên là lỗ hổng command injection (CVE-2024-50388) trong giải pháp sao lưu dữ liệu và phục hồi Hybrid Backup Sync. Thứ hai là lỗ hổng SQL injection (CVE-2024-50387) trong dịch vụ SMB của QNAP.

Đầu tháng 11/2025, QNAP cũng đã phát hành QuMagie 2.7.0 với các bản vá cho lỗ hổng SQL injection nghiêm trọng (CVE-2025-52425) trong giải pháp quản lý và chia sẻ ảnh của mình, cho phép kẻ tấn công từ xa thực thi mã hoặc lệnh trái phép trên các thiết bị dễ bị tấn công.

Twitter Zalo Facebook YouTube Copy Link QR Code
LỖ HỔNG BẢO MẬT COMMAND INJECTION TẤN CÔNG KHẮC PHỤC LỖ HỔNG PWN2OWN KHAI THÁC PWN2OWN 2025 NAS QNAP SQL INJECTION LỖ HỔNG ZERO-DAY QTS
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết