สรุปสั้น
บริษัท QNAP ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่หลายรายการที่กระทบระบบปฏิบัติการ NAS ที่ใช้กันอย่างแพร่หลาย ได้แก่ QTS, QuTS hero, QuTS cloud และ QVP (อุปกรณ์ QVR Pro) ประกาศเตือนระบุชุดช่องโหว่ร้ายแรงที่อาจให้ผู้โจมตีรันคำสั่งตามอำเภอใจ ทำให้เกิดสภาวะปฏิเสธการให้บริการ (DoS) และข้ามการควบคุมการเข้าถึง ช่องโหว่เหล่านี้ถูกเปิดเผยเมื่อวันที่ 6 เมษายน 2026 กระทบเวอร์ชัน QTS 5.2.7, QuTS hero h5.2.8, QuTS cloud c5.2.8 และ QVP 2.7.1 โดย QNAP จัดระดับความรุนแรงเป็น “Important” และยืนยันว่าได้แก้ไขช่องโหว่ที่รายงานทั้งหมดในเฟิร์มแวร์ล่าสุดแล้ว
ในบรรดาช่องโหว่ที่ร้ายแรงที่สุดคือ command injection หลายรายการ ได้แก่ CVE-2025-66273, CVE-2025-66279 และ CVE-2026-22893 ซึ่งให้ผู้ดูแลระบบที่ยืนยันตัวตนแล้วฉีดคำสั่งระบบตามอำเภอใจผ่านพารามิเตอร์ที่มีช่องโหว่ เช่น ชื่อผู้ใช้หรืออินพุต API การโจมตีสำเร็จอาจนำไปสู่การรันคำสั่งเต็มรูปแบบบนอุปกรณ์ NAS เปิดทางให้ผู้โจมตีจัดการไฟล์ ติดตั้งมัลแวร์ หรือเคลื่อนตัวภายในเครือข่ายภายในได้ โดยเฉพาะ CVE-2026-22893 ที่อนุญาตให้รันคำสั่งด้วยสิทธิ์ที่ยกระดับ เพิ่มความเสี่ยงโดยรวม นอกจากนี้ CVE-2025-59382 ยังเปิดช่องโหว่ URL injection ในกลไกรีเซ็ตรหัสผ่าน
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 22 มิถุนายน พ.ศ. 2569 ว่า บริษัท QNAP ได้ปล่อยอัปเดตความปลอดภัยตามประกาศ QSA-26-10 เพื่อแก้ไขช่องโหว่จำนวนมากบนระบบ NAS โดยยกระดับ QTS เป็นเวอร์ชัน 5.2.10, QuTS hero เป็น h5.2.9, QuTS cloud เป็น c5.2.9 และ QVP เป็นเวอร์ชัน 2.8.0 พร้อมแนะนำให้ผู้ใช้อัปเดตระบบทันทีเพื่อลดความเสี่ยงจากการถูกโจมตี
CVE-2025-59382 ที่เป็นช่องโหว่ URL injection ในกลไกรีเซ็ตรหัสผ่าน ทำให้ผู้โจมตีสามารถสร้างลิงก์รีเซ็ตอันตรายและหลอกผู้ใช้ให้ส่ง credential ไปยังหน้าที่ผู้โจมตีควบคุม นำไปสู่การขโมย credential ขณะที่ช่องโหว่อีกหลายรายการเกี่ยวข้องกับปัญหาการจัดการหน่วยความจำ เช่น stack และ buffer overflow ได้แก่ CVE-2025-62858, CVE-2025-68405 และ CVE-2026-26239 ถึง CVE-2026-26241 ตัวอย่างเช่น CVE-2026-26240 และ CVE-2026-26241 สามารถถูกกระตุ้นได้ด้วยชื่อไฟล์ที่ยาวเกินไปขณะอัปโหลดไฟล์ ทำให้คอมโพเนนต์ utilRequest.CGI ล่ม ซึ่งอาจนำไปสู่การหยุดชะงักหรือความไม่เสถียรของบริการ NAS
ช่องโหว่อื่น ๆ เช่น CVE-2025-66280 และ CVE-2025-66281 เกี่ยวข้องกับการจัดการ stack และปัญหา NULL pointer dereference ที่ให้ผู้โจมตีทำให้บริการล่มด้วยคำขอที่สร้างขึ้นเป็นพิเศษ ประกาศยังรวม CVE-2026-24724 ช่องโหว่ broken access control ที่ให้ผู้ใช้ที่ยืนยันตัวตนแล้วข้ามข้อจำกัดเข้าถึงไฟล์สำคัญ ส่วน CVE-2026-24720 เปิดทางให้ใช้ทรัพยากรอย่างไม่มีการควบคุม ทำให้ผู้โจมตีดูด CPU และหน่วยความจำจนประสิทธิภาพระบบลดลงอย่างมาก และ CVE-2026-22899 ที่ให้ผู้ใช้สิทธิ์ต่ำกระตุ้น NULL pointer dereference จนเกิดสภาวะ DoS
รายละเอียดช่องโหว่
จุดที่อันตรายที่สุดของชุดช่องโหว่นี้คือกลุ่ม command injection ที่ให้ผู้ดูแลระบบที่ยืนยันตัวตนแล้วฉีดคำสั่งระบบผ่านพารามิเตอร์ที่มีช่องโหว่ แม้จะต้องการการยืนยันตัวตน แต่ในทางปฏิบัติบัญชีผู้ดูแลของ NAS มักถูกยึดได้ผ่านการขโมย credential, brute force หรือช่องโหว่ URL injection (CVE-2025-59382) ที่อยู่ในชุดเดียวกันนี้ ทำให้ห่วงโซ่การโจมตีครบวงจรได้ เมื่อรันคำสั่งได้แล้ว ผู้โจมตีสามารถจัดการไฟล์ ติดตั้งมัลแวร์ เช่น แรนซัมแวร์ หรือใช้ NAS เป็นจุดตั้งหลัก (foothold) เพื่อเคลื่อนตัวเข้าสู่เครือข่ายภายใน ขณะที่ช่องโหว่ memory corruption และ NULL pointer dereference กลุ่มใหญ่เปิดทางให้ทำให้บริการล่มหรือไม่เสถียร ซึ่งกระทบความพร้อมใช้งานของข้อมูลที่จัดเก็บ เนื่องจากอุปกรณ์ NAS มักถูกเปิดสู่อินเทอร์เน็ต ระบบที่ยังไม่แพตช์จึงเป็นเป้าหมายที่น่าดึงดูดสำหรับผู้โจมตีที่ต้องการดูดข้อมูลหรือสร้างจุดตั้งหลักบนเครือข่าย
ผลกระทบต่อไทย
อุปกรณ์ QNAP NAS เป็นที่นิยมอย่างมากในองค์กรขนาดกลางและเล็ก สำนักงาน และผู้ใช้ตามบ้านในไทยสำหรับจัดเก็บและสำรองข้อมูล หลายเครื่องถูกตั้งค่าให้เข้าถึงจากอินเทอร์เน็ตเพื่อความสะดวกในการใช้งานระยะไกล ซึ่งทำให้ตกเป็นเป้าหมายของช่องโหว่ชุดนี้ได้ทันที QNAP NAS ในไทยเคยตกเป็นเหยื่อแคมเปญแรนซัมแวร์หลายระลอกในอดีต (เช่น Qlocker, DeadBolt) สะท้อนว่าอุปกรณ์เหล่านี้มักไม่ได้รับการอัปเดตอย่างสม่ำเสมอ หากช่องโหว่ command injection ถูกใช้ร่วมกับการขโมย credential ผู้โจมตีอาจเข้ายึดเครื่อง เข้ารหัสข้อมูลเรียกค่าไถ่ หรือใช้เป็นทางผ่านโจมตีเครือข่ายองค์กรได้ ความเสี่ยงนี้กระทบทั้งข้อมูลธุรกิจและข้อมูลส่วนบุคคลที่จัดเก็บบนอุปกรณ์
คำแนะนำ
ผู้ดูแลระบบควรอัปเดตเฟิร์มแวร์ QNAP ทันทีเป็นเวอร์ชันที่แก้ไขแล้ว ได้แก่ QTS 5.2.10, QuTS hero h5.2.9, QuTS cloud c5.2.9 และ QVP 2.8.0 โดยล็อกอินเข้าหน้าจัดการอุปกรณ์ ไปที่ส่วนอัปเดตเฟิร์มแวร์ และติดตั้งเวอร์ชันล่าสุด หรือดาวน์โหลดเฟิร์มแวร์ด้วยตนเองจาก QNAP Download Center นอกจากการแพตช์ ควรจำกัดการเข้าถึงระดับผู้ดูแล บังคับใช้การยืนยันตัวตนที่แข็งแกร่งพร้อม MFA ตรวจสอบ log ระบบเพื่อหากิจกรรมน่าสงสัย และที่สำคัญที่สุดคือไม่ควรเปิดอุปกรณ์ NAS สู่อินเทอร์เน็ตโดยตรง ควรเข้าถึงผ่าน VPN เท่านั้น พร้อมสำรองข้อมูลแบบออฟไลน์เพื่อรับมือกรณีถูกแรนซัมแวร์โจมตี
