3줄 요약
1. NAS OS QTS와 QuTS hero에서 REC 취약점 발견
2. NAS 내 데이터 조작될 위협 有
3. 시스템 업데이트 통해 취약점 예방

[보안뉴스 박은주 기자] 큐냅 NAS OS에서 RCE 취약점이 발견됐다. KISA는 신속한 보안 업데이트를 권장했다.


▲큐냅 NAS OS 구동 화면[이미지=큐냅]

한국인터넷진흥원(KISA)은 대만 컴퓨팅·스토리지 전문기업 큐냅(QNAP)의 NAS 운영체제(OS) ‘QTS’와 ‘QuTS hero’에서 원격코드실행(RCE) 취약점이 발견됐다고 20일 알리며, 보안 업데이트를 권장했다.

발견된 취약점은 ‘CVE-2024-53691’이다. 공격자는 취약점을 악용해 NAS에 대한 접근 권한을 얻는다. NAS 시스템을 탐색하고 파일 위치를 임의로 옮길 수 있게 된다. 시스템 내 중요 파일이나 데이터가 조작될 위협이 존재한다. 해당 취약점은 공통 취약점 평가 시스템(CVSS) 점수 8.7점을 받아 높은 수준 위험도로 측정됐다.

NAS는 디지털 저장매체 HDD나 SSD 등을 연결한 파일 서버다. 인터넷으로 접속해 데이터에 접근할 수 있다. 취약점이 발견된 QTS와 QuTS hero는 NAS를 운영하는 소프트웨어다. 큐냅에 따르면 QTS 사용자가 600만명에 달한다.

큐냅 생태계는 꾸준히 위협받아 왔다. 2023년 위 OS와 클라우드 NAS 솔루션 ‘QuTScloud’, 네트워크 영상보안 서버 ‘QVP’에서 제로데이 취약점이 발견됐다. 제로데이 취약점은 보안 패치가 마련되기 전 취약점을 말한다. 치료제가 없는 병인 셈. 전문가는 취약성이 발견된 시스템이나 생태계를 파고드는 공격자 특성이라고 설명했다.


▲취약점에 영향받는 제품 및 해결 방안[자료=KISA]

KISA는 취약점에 영향받는 시스템 버전과 해결 버전을 공개했다. 해결 버전으로 시스템을 업데이트하면 취약점을 악용한 공격을 피할 수 있다. QTS는 ‘QTS 5.2.0 미만’ 버전, QuTS는 ‘QuTS hero h5.2.0 미만’ 버전이 해당한다. QTS는 QTS 5.2.0.2802 빌드 20240620 이상 버전으로, QuTS는 QuTS hero h5.2.0.2802 빌드 20240620 이상으로 업데이트해 취약점을 해결할 수 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>