QNAP исправляет нулевой день в ПО для резервного копирования NAS

Компания QNAP устранила критическую уязвимость нулевого дня, использованную исследователями безопасности для взлома NAS-устройства TS-464 во время конкурса Pwn2Own Ireland 2024.

Отслеживаемый как CVE-2024-50388, критическая уязвимость вызваная возможностью инъекции команд ОС в HBS 3 Hybrid Backup Sync версии 25.1.x, решении компании для аварийного восстановления и резервного копирования данных.

Поступило сообщение об уязвимости инъекции команд ОС, затрагивающей HBS 3 Hybrid Backup Sync. В случае эксплуатации уязвимость может позволить удаленным злоумышленникам выполнять произвольные команды
- говорится в опубликованном во вторник сообщении QNAP

Компания устранила ошибку безопасности в HBS 3 Hybrid Backup Sync 25.1.1.673 и более поздних версиях.

Чтобы обновить HBS 3 на NAS-устройстве, войдите в QTS или QuTS hero с правами администратора, откройте Центр приложений и найдите «HBS 3 Hybrid Backup Sync».

Если обновление доступно, нажмите «Обновить». Однако кнопка «Обновить» будет недоступна, если HBS 3 Hybrid Backup Sync уже обновлен.

Нулевой день был исправлен через пять дней после того, как Ха Те Лонг и Ха Ань Хоанг из Viettel Cyber Security смогли выполнить произвольный код и получить привилегии администратора в третий день Pwn2Own Ireland 2024.

Однако после конкурса Pwn2Own производители обычно не торопятся выпускать исправления безопасности, поскольку им дается 90 дней, пока инициатива Zero Day Initiative компании Trend Micro не опубликует подробную информацию об ошибках безопасности, продемонстрированных и раскрытых в ходе конкурса.

Команда Viettel победила в Pwn2Own Ireland 2024, который завершился после четырех дней соревнований в пятницу, 25 октября. Хакеры, раскрывшие более 70 уникальных уязвимостей нулевого дня, получили более 1 миллиона долларов в качестве призов.

Три года назад компания QNAP также устранила бэкдор в своем решении Hybrid Backup Sync (CVE-2021-28799), который использовался вместе с уязвимостью SQL Injection в Multimedia Console и Media Streaming Add-On (CVE-2020-36195) для установки вымогательского ПО Qlocker на NAS-устройства с доступом в Интернет для шифрования файлов.

Устройства QNAP являются популярной целью среди банд вымогателей, поскольку на них хранятся конфиденциальные личные файлы, что делает их идеальным рычагом для принуждения жертв заплатить выкуп за расшифровку данных.

В июне 2020 года QNAP предупредила об атаках вымогателей eCh0raix, использующих недостатки безопасности приложения Photo Station. Спустя год eCh0raix (он же QNAPCrypt) вернулся в виде атак, использующих известные уязвимости и перебор учетных записей со слабыми паролями.

В сентябре 2020 года QNAP также предупредила клиентов об атаках вымогателей AgeLocker, направленных на открытые устройства NAS, на которых установлены старые и уязвимые версии Photo Station.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи

Комментарии (0)