QNAP แจ้งเตือนช่องโหว่ CVE-2019-11043 ของ PHP 7.x ที่เมื่อบั๊กนี้เจอกับคอนฟิก nginx บางรูปแบบก็จะเปิดช่องโหว่รันโค้ดระยะไกล เปิดทางให้แฮกเกอร์เข้ายึด NAS ของเหยื่อได้

ช่องโหว่นี้ทาง PHP แก้ไขไปตั้งแต่ปี 2019 แต่ทาง QNAP ไม่ได้อัพเดต อย่างไรก็ดีทาง QNAP ระบุว่า ค่าเริ่มต้นของ QNAP ไม่ได้ติดตั้ง nginx มาแต่แรก (เว็บเซิร์ฟเวอร์มาตรฐานเป็น Apache 2) และตอนนี้ก็เริ่มปล่อยแพตช์ให้ QTS 5.0 และ QuTS hero h5.0 แล้ว ส่วนเวอร์ชั่นอื่นๆ กำลังอยู่ระหว่างปล่อยอัพเดตต่อไป

ทาง QNAP ไม่ได้ยืนยันว่าการกลับไปแก้ไขช่องโหว่เก่าสามปีเช่นนี้เกี่ยวข้องกับรายงานมัลแวร์เรียกค่าไถ่ ech0raix กลับมาระบาดใน QNAP หรือไม่

ที่มา - Bleeping Computer