Η QNAP κυκλοφόρησε ενημερώσεις κώδικα ασφαλείας για ένα δεύτερο σφάλμα μηδενικής ημέρας που εκμεταλλεύτηκαν ερευνητές ασφαλείας κατά τη διάρκεια του διαγωνισμού χάκερ Pwn2Own της περασμένης εβδομάδας.
Αυτή η κρίσιμη ευπάθεια SQL injection (SQLi), παρακολουθείται ως CVE-2024-50387βρέθηκε στην υπηρεσία SMB της QNAP και τώρα έχει διορθωθεί στις εκδόσεις 4.15.002 ή μεταγενέστερες και h4.15.002 και νεότερες εκδόσεις.
Το ελάττωμα του zero-day επιδιορθώθηκε μία εβδομάδα αφότου επέτρεψε στον YingMuo (που συνεργάζεται με το Πρόγραμμα πρακτικής άσκησης DEVCORE) να αποκτήσει ένα ριζικό κέλυφος και να αναλάβει μια συσκευή QNAP TS-464 NAS στο Pwn2Own Ireland 2024.
Την Τρίτη, η εταιρεία διόρθωσε άλλη μια ημέρα μηδέν στη λύση ανάκτησης καταστροφής και δημιουργίας αντιγράφων ασφαλείας δεδομένων HBS 3 Hybrid Backup Sync, την οποία εκμεταλλεύτηκε η ομάδα της Viettel Cyber Security στο Pwn2Own για να εκτελέσει αυθαίρετες εντολές και να χακάρει μια συσκευή TS-464 NAS.
Η ομάδα Viettel κέρδισε το Pwn2Own Ireland 2024 μετά από τέσσερις ημέρες διαγωνισμού, κατά τη διάρκεια των οποίων απονεμήθηκαν περισσότερα από 1 εκατομμύριο δολάρια σε έπαθλα σε χάκερ που επέδειξαν πάνω από 70 μοναδικά τρωτά σημεία zero-day.
Ενώ το QNAP επιδιορθώνει και τα δύο τρωτά σημεία εντός μιας εβδομάδας, οι προμηθευτές συνήθως αφιερώνουν χρόνο για να κυκλοφορήσουν ενημερώσεις κώδικα ασφαλείας μετά τον διαγωνισμό Pwn2Own, δεδομένου ότι έχουν 90 ημέρες έως ότου η Trend Micro‘s Zero Day Initiative δημοσιεύσει λεπτομέρειες σχετικά με σφάλματα που αποκαλύφθηκαν κατά τη διάρκεια του διαγωνισμού.
Για να ενημερώσετε το λογισμικό στη συσκευή σας NAS, συνδεθείτε στο QuTS hero ή στο QTS ως διαχειριστής, μεταβείτε στο App Center, αναζητήστε “SMB Service” και κάντε κλικ στο “Update”. Αυτό το κουμπί δεν θα είναι διαθέσιμο εάν το λογισμικό είναι ήδη ενημερωμένο.
Η γρήγορη ενημέρωση κώδικα συνιστάται ιδιαίτερα, καθώς οι συσκευές QNAP είναι δημοφιλείς στόχοι για εγκληματίες στον κυβερνοχώρο, επειδή χρησιμοποιούνται συνήθως για τη δημιουργία αντιγράφων ασφαλείας και την αποθήκευση ευαίσθητων προσωπικών αρχείων. Αυτό τους καθιστά εύκολους στόχους για την εγκατάσταση κακόβουλου λογισμικού κλοπής πληροφοριών και την τέλεια μόχλευση για να αναγκάσουν τα θύματα να πληρώσουν λύτρα για να πάρουν πίσω τα δεδομένα τους.
Για παράδειγμα, τον Ιούνιο του 2020, η QNAP προειδοποίησε για επιθέσεις ransomware eCh0raix, οι οποίες εκμεταλλεύονταν τα τρωτά σημεία της εφαρμογής Photo Station για να παραβιάσουν και να κρυπτογραφήσουν συσκευές QNAP NAS.
Η QNAP ειδοποίησε επίσης τους πελάτες τον Σεπτέμβριο του 2020 για επιθέσεις ransomware AgeLocker που στοχεύουν δημοσίως εκτεθειμένες συσκευές NAS με παλαιότερες και ευάλωτες εκδόσεις του Photo Station. Τον Ιούνιο του 2021, το eCh0raix (QNAPCrypt) επέστρεψε με νέες επιθέσεις που εκμεταλλεύονται γνωστά τρωτά σημεία και βάναυσους λογαριασμούς NAS χρησιμοποιώντας αδύναμους κωδικούς πρόσβασης.
Άλλες πρόσφατες επιθέσεις που στοχεύουν συσκευές QNAP περιλαμβάνουν εκστρατείες ransomware DeadBolt, Checkmate και eCh0raix, οι οποίες έκαναν κατάχρηση διαφόρων ευπαθειών ασφαλείας για την κρυπτογράφηση δεδομένων σε συσκευές NAS που εκτίθενται στο Διαδίκτυο.
VIA: bleepingcomputer.com
