큐냅 NAS OS서 ‘RCE’ 취약점 발견
큐냅 NAS OS에서 RCE 취약점이 발견됐다. KISA는 신속한 보안 업데이트를 권장했다.
www.boannews.com
- 취약점 개요
- 큐냅(QNAP) NAS 운영체제 ‘QTS’ 및 ‘QuTS hero’에서 원격 코드 실행(RCE) 취약점 발견
- CVE-2024-53691로 등록, CVSS 점수 8.7점(높은 위험도)
- 공격자가 NAS 시스템에 무단 접근 및 데이터 조작 가능
- 취약점의 영향
- NAS에 저장된 파일을 임의로 이동·조작 가능
- 원격에서 시스템 권한을 탈취, 내부 네트워크 침해 가능
- QTS 및 QuTS hero 사용자는 즉시 보안 패치 적용 필요
- 취약점에 영향받는 버전 및 해결 방법
- QTS 5.2.0 미만 버전 → QTS 5.2.0.2802 빌드 20240620 이상으로 업데이트 필요
- QuTS hero h5.2.0 미만 버전 → QuTS hero h5.2.0.2802 빌드 20240620 이상으로 업데이트 필요
- 자동 업데이트 기능 활성화 권장
- 큐냅 NAS의 지속적인 보안 위협
- 2023년에도 QTS, QuTScloud, QVP에서 제로데이 취약점 발견
- NAS 환경은 공격자의 주요 표적, 보안 패치 적용 및 보안 설정 강화 필수
- 보안 권고
- NAS 펌웨어 및 소프트웨어 최신 상태 유지
- 관리자 계정 보안 강화 및 원격 접속 제한
- 이중 인증(MFA) 적용하여 무단 접근 방지
- 불필요한 네트워크 서비스 비활성화
- 정기적인 데이터 백업 및 보안 로그 모니터링 실시
'Kant's IT > Vulnerability' 카테고리의 다른 글
| AIRASHI 봇넷, cnPilot 라우터 제로데이 취약점 악용 (0) | 2025.02.01 |
|---|---|
| Ivanti Cloud Service Applications 취약점 연쇄 활용 (0) | 2025.01.31 |
| 챗GPT API 취약점 발견, DDoS 및 프롬프트 인젝션 공격 가능 (0) | 2025.01.31 |
| Rails 애플리케이션 임의 파일 쓰기 취약 악용 시 원격 코드 실행(RCE) 가능 (0) | 2025.01.31 |
| 주니퍼 라우터 대상 'Magic Packet' 취약점 악용 백도어 발견 (0) | 2025.01.31 |