back to top
ΑρχικήΤεχνολογίαQNAP διορθώνει ευπάθεια NAS zero-day στο Pwn2Own

QNAP διορθώνει ευπάθεια NAS zero-day στο Pwn2Own


Η QNAP διόρθωσε μια κρίσιμη ευπάθεια zero-day που εκμεταλλεύτηκαν ερευνητές ασφαλείας την Πέμπτη για να χακάρουν μια συσκευή TS-464 NAS κατά τη διάρκεια του διαγωνισμού Ireland 2024.

ως CVE-2024-50388, το ελάττωμα ασφαλείας προκαλείται από μια αδυναμία εισαγωγής εντολής λειτουργικού συστήματος σε HBS 3 Hybrid Backup Sync έκδοση 25.1.x, η λύση αποκατάστασης καταστροφών και δημιουργίας αντιγράφων ασφαλείας δεδομένων της εταιρείας.

“Έχει αναφερθεί ότι μια ευπάθεια εισαγωγής εντολών OS επηρεάζει το HBS 3 Hybrid Backup Sync. Εάν γίνει εκμετάλλευση, η ευπάθεια θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς να εκτελέσουν αυθαίρετες εντολές”, QNAP είπε σε μια συμβουλή ασφαλείας την Τρίτη.

Η εταιρεία έχει αντιμετωπίσει το σφάλμα ασφαλείας στο HBS 3 Hybrid Backup Sync 25.1.1.673 και μεταγενέστερη έκδοση.

Για να ενημερώσετε το HBS 3 στη συσκευή σας NAS, συνδεθείτε στο QTS ή QuTS hero ως διαχειριστής, ανοίξτε το Center και αναζητήστε “HBS 3 Hybrid Backup Sync”.

Εάν υπάρχει διαθέσιμη ενημέρωση, κάντε κλικ στο “Ενημέρωση”. Ωστόσο, το κουμπί “Ενημέρωση” δεν θα είναι διαθέσιμο εάν το HBS 3 Hybrid Backup Sync είναι ήδη ενημερωμένο.

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ:  Bogist M5 Pro-S: Υψηλές επιδόσεις και μεγαλύτερη μπαταρία

Το zero-day διορθώθηκε πέντε ημέρες αφότου επέτρεψε στους Ha The Long και Ha Anh Hoang της Viettel Cyber ​​ να εκτελέσουν αυθαίρετο κώδικα και αποκτήσει δικαιώματα διαχειριστή την τρίτη ημέρα του Pwn2Own Ireland 2024.

QNAP μηδενικής ημέρας Pwn2Own

​Ωστόσο, μετά τον διαγωνισμό Pwn2Own, οι πωλητές συνήθως αφιερώνουν το χρόνο τους για να εκδώσουν ενημερώσεις κώδικα ασφαλείας, βλέποντας ότι τους δίνονται 90 ημέρες έως ότου το Zero Day Initiative της Trend Micro δημοσιεύσει λεπτομέρειες σχετικά με σφάλματα ασφαλείας που παρουσιάστηκαν και αποκαλύφθηκαν κατά τη διάρκεια του διαγωνισμού.

Η ομάδα Viettel κέρδισε το Pwn2Own Ireland 2024, το οποίο ολοκληρώθηκε μετά από τέσσερις ημέρες διαγωνισμού, την Παρασκευή 25 Οκτωβρίου. Περισσότερα από 1 εκατομμύριο δολάρια σε έπαθλα απονεμήθηκαν σε χάκερ που αποκάλυψαν πάνω από 70 μοναδικά τρωτά σημεία zero-day.

Πριν από τρία χρόνια, η QNAP αφαίρεσε επίσης έναν λογαριασμό backdoor στη λύση Hybrid Backup Sync (CVE-2021-28799), το οποίο εκμεταλλεύτηκε μαζί με ένα Ευπάθεια SQL Injection στην Κονσόλα πολυμέσων και στο πρόσθετο ροής πολυμέσων(CVE-2020-36195) για την ανάπτυξη ransomware Qlocker σε συσκευές NAS που εκτίθενται στο Διαδίκτυο για την κρυπτογράφηση αρχείων.

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ:  Επίτευγματα για τους Βίκινγκς: "Assassin's Creed Valhalla" στο Steam

Οι συσκευές QNAP είναι ένας δημοφιλής στόχος μεταξύ των συμμοριών ransomware επειδή αποθηκεύουν ευαίσθητα προσωπικά αρχεία, καθιστώντας τα τέλειο μοχλό για να αναγκάσουν τα θύματα να πληρώσουν λύτρα για την αποκρυπτογράφηση δεδομένων.

Τον Ιούνιο του 2020, η QNAP προειδοποίησε για επιθέσεις ransomware eCh0raix που εκμεταλλεύονται ελαττώματα ασφαλείας της εφαρμογής Photo Station. Ένα χρόνο αργότερα, το eCh0raix (γνωστός και ως QNAPCrypt) επέστρεψε σε επιθέσεις που εκμεταλλεύονταν γνωστά τρωτά σημεία και λογαριασμούς brute-forcing με αδύναμους κωδικούς πρόσβασης.

Η QNAP ειδοποίησε επίσης τους πελάτες τον Σεπτέμβριο του 2020 για επιθέσεις ransomware AgeLocker που στοχεύουν δημοσίως εκτεθειμένες συσκευές NAS με παλαιότερες και ευάλωτες εκδόσεις του Photo Station.



VIA: bleepingcomputer.com

D. Troktikos
D. Troktikoshttps://www.troktiko.net
Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν. Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.
RELATED ARTICLES

Απάντηση

Most Popular

Lastest Articles