QNAP Systems đã phát hành các bản vá bảo mật để khắc phục nhiều lỗ hổng QNAP ảnh hưởng đến firmware QVR trong các hệ thống VioStor Network Video Recorder (NVR) đời cũ. Công ty đã công bố hai lỗ hổng bảo mật đáng kể vào ngày 29 tháng 8 năm 2025, khẩn cấp yêu cầu người dùng cập nhật hệ thống để ngăn chặn các cuộc xâm nhập tiềm ẩn.

Cảnh báo bảo mật này tiết lộ hai lỗ hổng riêng biệt có thể làm tổn hại tính toàn vẹn của các hệ thống VioStor NVR chạy firmware QVR 5.1.x.

Tổng Quan về Các Lỗ Hổng QNAP và Cảnh Báo CVE

Lỗ Hổng CVE-2025-52856: Xác Thực Không Đúng Cách

Lỗ hổng đầu tiên, được theo dõi là CVE-2025-52856, là một lỗi xác thực không đúng cách (improper authentication). Lỗi này cho phép những kẻ tấn công từ xa thỏa hiệp bảo mật hệ thống mà không cần thông tin xác thực hợp lệ.

Điểm yếu nghiêm trọng này có thể cho phép các cá nhân trái phép giành quyền truy cập vào dữ liệu giám sát nhạy cảm và kiểm soát hệ thống. Đây là một mối đe dọa trực tiếp đến an ninh mạng của hạ tầng giám sát.

Lỗ Hổng CVE-2025-52861: Path Traversal

Lỗ hổng thứ hai, CVE-2025-52861, là một lỗ hổng tấn công kiểu path traversal (điều hướng đường dẫn). Lỗ hổng này có thể bị khai thác sau khi kẻ tấn công có được quyền truy cập cấp quản trị viên.

Thông qua lỗi này, các tác nhân độc hại có thể đọc các tệp không mong muốn và truy cập dữ liệu hệ thống nhạy cảm nằm ngoài quyền hạn của họ. Mặc dù yêu cầu quyền truy cập quản trị viên trước đó, lỗ hổng này làm tăng đáng kể mức độ thiệt hại tiềm tàng từ các cuộc tấn công thành công.

Mức Độ Nghiêm Trọng và Nguồn Phát Hiện Lỗ Hổng

Cả hai lỗ hổng QNAP này đều được phân loại là mức độ nghiêm trọng “Important” (Quan trọng). Điều này cho thấy rủi ro đáng kể đối với các hệ thống bị ảnh hưởng.

Việc phát hiện và báo cáo các điểm yếu này được ghi nhận cho nhà nghiên cứu bảo mật Hou Liuyang từ 360 Security. Điều này nhấn mạnh tầm quan trọng của nghiên cứu bảo mật hợp tác trong việc xác định các lỗ hổng hệ thống quan trọng.

Các Hệ Thống QNAP VioStor NVR Bị Ảnh Hưởng

Các hệ thống VioStor NVR đời cũ chạy firmware QVR 5.1.x nằm trong diện bị ảnh hưởng bởi các lỗ hổng QNAP này. Người dùng cần kiểm tra phiên bản firmware hiện tại của thiết bị.

Giải Pháp Khắc Phục và Quy Trình Cập Nhật Bản Vá Bảo Mật

Phiên Bản Firmware Khắc Phục Lỗ Hổng QNAP

QNAP đã phản ứng nhanh chóng với các mối lo ngại về bảo mật bằng cách phát hành firmware cập nhật để khắc phục cả hai lỗ hổng QNAP. Thông tin chi tiết có sẵn trên trang tư vấn bảo mật của QNAP.

Người dùng các hệ thống QNAP VioStor NVR hiện có thể nâng cấp lên QVR 5.1.6 build 20250621 hoặc các phiên bản mới hơn. Điều này giúp loại bỏ hoàn toàn các rủi ro an ninh liên quan đến các lỗ hổng QNAP đã được công bố.

Công ty đã đánh dấu các lỗ hổng là “Resolved” (Đã khắc phục), cho thấy các bản sửa lỗi toàn diện đã có sẵn thông qua các bản cập nhật firmware mới nhất.

Hướng Dẫn Cập Nhật Bản Vá Bảo Mật QNAP

QNAP cung cấp hướng dẫn chi tiết cho việc cập nhật các hệ thống bị ảnh hưởng, nhấn mạnh tính đơn giản của quá trình cài đặt bản vá bảo mật.

Các quản trị viên có thể truy cập chức năng cập nhật firmware thông qua menu Control Panel’s System Settings. Tại đây, họ có thể tải lên và cài đặt các bản vá bảo mật mới nhất.

Quá trình cập nhật yêu cầu quyền truy cập quản trị viên vào hệ thống VioStor NVR. Nó bao gồm việc tải xuống tệp firmware cụ thể cho kiểu thiết bị từ trang web chính thức của QNAP.

Bước 1: Đăng nhập vào giao diện quản trị VioStor NVR với tài khoản quản trị viên.
Bước 2: Điều hướng đến Control Panel > System Settings.
Bước 3: Chọn Firmware Update.
Bước 4: Tải xuống tệp firmware mới nhất (ví dụ: QVR 5.1.6 build 20250621) từ trang web chính thức của QNAP, khớp với model thiết bị của bạn.
Bước 5: Tải tệp firmware đã tải xuống lên hệ thống thông qua giao diện.
Bước 6: Xác nhận cài đặt. Hệ thống sẽ tự động cài đặt bản vá và có thể yêu cầu khởi động lại để hoàn tất.

Sau khi tải lên thông qua giao diện cập nhật firmware, hệ thống sẽ tự động cài đặt các bản vá bảo mật. Điều này cung cấp khả năng bảo vệ tức thì chống lại các lỗ hổng QNAP đã được xác định.

Kiểm Tra Tình Trạng Hỗ Trợ và Lịch Trình Cập Nhật Định Kỳ

QNAP khuyến nghị mạnh mẽ người dùng thiết lập lịch trình cập nhật thường xuyên. Điều này để đảm bảo hệ thống của họ nhận được các bản vá bảo mật mới nhất kịp thời.

Công ty cũng khuyên nên kiểm tra trang trạng thái hỗ trợ sản phẩm của họ. Việc này giúp theo dõi tình trạng hỗ trợ liên tục cho các mẫu NVR cụ thể và cập nhật thông tin về các bản cập nhật bảo mật trong tương lai.

Để biết thêm thông tin chi tiết về các lỗ hổng QNAP và bản vá, vui lòng tham khảo QNAP Security Advisory QSA-25-29.