Η QNAP διόρθωσε μια κρίσιμη ευπάθεια zero-day που εκμεταλλεύτηκαν ερευνητές ασφαλείας την Πέμπτη για να χακάρουν μια συσκευή TS-464 NAS κατά τη διάρκεια του διαγωνισμού Pwn2Own Ireland 2024.
Παρακολούθηση ως CVE-2024-50388, το ελάττωμα ασφαλείας προκαλείται από μια αδυναμία εισαγωγής εντολής λειτουργικού συστήματος σε HBS 3 Hybrid Backup Sync έκδοση 25.1.x, η λύση αποκατάστασης καταστροφών και δημιουργίας αντιγράφων ασφαλείας δεδομένων της εταιρείας.
“Έχει αναφερθεί ότι μια ευπάθεια εισαγωγής εντολών OS επηρεάζει το HBS 3 Hybrid Backup Sync. Εάν γίνει εκμετάλλευση, η ευπάθεια θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς να εκτελέσουν αυθαίρετες εντολές”, QNAP είπε σε μια συμβουλή ασφαλείας την Τρίτη.
Η εταιρεία έχει αντιμετωπίσει το σφάλμα ασφαλείας στο HBS 3 Hybrid Backup Sync 25.1.1.673 και μεταγενέστερη έκδοση.
Για να ενημερώσετε το HBS 3 στη συσκευή σας NAS, συνδεθείτε στο QTS ή QuTS hero ως διαχειριστής, ανοίξτε το App Center και αναζητήστε “HBS 3 Hybrid Backup Sync”.
Εάν υπάρχει διαθέσιμη ενημέρωση, κάντε κλικ στο “Ενημέρωση”. Ωστόσο, το κουμπί “Ενημέρωση” δεν θα είναι διαθέσιμο εάν το HBS 3 Hybrid Backup Sync είναι ήδη ενημερωμένο.
Το zero-day διορθώθηκε πέντε ημέρες αφότου επέτρεψε στους Ha The Long και Ha Anh Hoang της Viettel Cyber Security να εκτελέσουν αυθαίρετο κώδικα και αποκτήσει δικαιώματα διαχειριστή την τρίτη ημέρα του Pwn2Own Ireland 2024.
Ωστόσο, μετά τον διαγωνισμό Pwn2Own, οι πωλητές συνήθως αφιερώνουν το χρόνο τους για να εκδώσουν ενημερώσεις κώδικα ασφαλείας, βλέποντας ότι τους δίνονται 90 ημέρες έως ότου το Zero Day Initiative της Trend Micro δημοσιεύσει λεπτομέρειες σχετικά με σφάλματα ασφαλείας που παρουσιάστηκαν και αποκαλύφθηκαν κατά τη διάρκεια του διαγωνισμού.
Η ομάδα Viettel κέρδισε το Pwn2Own Ireland 2024, το οποίο ολοκληρώθηκε μετά από τέσσερις ημέρες διαγωνισμού, την Παρασκευή 25 Οκτωβρίου. Περισσότερα από 1 εκατομμύριο δολάρια σε έπαθλα απονεμήθηκαν σε χάκερ που αποκάλυψαν πάνω από 70 μοναδικά τρωτά σημεία zero-day.
Πριν από τρία χρόνια, η QNAP αφαίρεσε επίσης έναν λογαριασμό backdoor στη λύση Hybrid Backup Sync (CVE-2021-28799), το οποίο εκμεταλλεύτηκε μαζί με ένα Ευπάθεια SQL Injection στην Κονσόλα πολυμέσων και στο πρόσθετο ροής πολυμέσων(CVE-2020-36195) για την ανάπτυξη ransomware Qlocker σε συσκευές NAS που εκτίθενται στο Διαδίκτυο για την κρυπτογράφηση αρχείων.
Οι συσκευές QNAP είναι ένας δημοφιλής στόχος μεταξύ των συμμοριών ransomware επειδή αποθηκεύουν ευαίσθητα προσωπικά αρχεία, καθιστώντας τα τέλειο μοχλό για να αναγκάσουν τα θύματα να πληρώσουν λύτρα για την αποκρυπτογράφηση δεδομένων.
Τον Ιούνιο του 2020, η QNAP προειδοποίησε για επιθέσεις ransomware eCh0raix που εκμεταλλεύονται ελαττώματα ασφαλείας της εφαρμογής Photo Station. Ένα χρόνο αργότερα, το eCh0raix (γνωστός και ως QNAPCrypt) επέστρεψε σε επιθέσεις που εκμεταλλεύονταν γνωστά τρωτά σημεία και λογαριασμούς brute-forcing με αδύναμους κωδικούς πρόσβασης.
Η QNAP ειδοποίησε επίσης τους πελάτες τον Σεπτέμβριο του 2020 για επιθέσεις ransomware AgeLocker που στοχεύουν δημοσίως εκτεθειμένες συσκευές NAS με παλαιότερες και ευάλωτες εκδόσεις του Photo Station.
VIA: bleepingcomputer.com