QNAP išleido saugos pataisas antrai nulinės dienos klaidai, kurią saugumo tyrinėtojai išnaudojo praėjusios savaitės „Pwn2Own“ įsilaužimo konkurse.
Šis kritinis SQL injekcijos (SQLi) pažeidžiamumas, stebimas kaip CVE-2024-50387, buvo rastas QNAP SMB tarnyboje ir dabar ištaisytas 4.15.002 ar naujesnėse versijose bei h4.15.002 ir vėlesnėse versijose.
Nulinės dienos trūkumas buvo pataisytas praėjus savaitei po to, kai leido YingMuo (dirbančiam su DEVCORE stažuočių programa) gauti šakninį apvalkalą ir perimti QNAP TS-464 NAS įrenginį Pwn2Own Ireland 2024.
Antradienį bendrovė nustatė dar vieną nulinę dieną savo HBS 3 Hybrid Backup Sync atkūrimo ir duomenų atsarginių kopijų sprendime, kurį išnaudojo Viettel Cyber Security komanda Pwn2Own, kad vykdytų savavališkas komandas ir įsilaužtų į TS-464 NAS įrenginį.
„Team Viettel“ laimėjo „Pwn2Own Ireland 2024“ po keturių dienų varžybų, kurių metu įsilaužėliams, pademonstravusiems daugiau nei 70 unikalių nulinės dienos pažeidžiamumų, buvo įteikta daugiau nei 1 mln. USD prizų.
Nors QNAP abu pažeidžiamumus pataisė per savaitę, pardavėjai paprastai skiria laiko išleisti saugos pataisas po konkurso „Pwn2Own“, nes turi 90 dienų, kol „Trend Micro“ „Zero Day Initiative“ išleis išsamią informaciją apie konkurso metu atskleistas klaidas.
Norėdami atnaujinti programinę įrangą savo NAS įrenginyje, prisijunkite prie QuTS hero arba QTS kaip administratorius, eikite į programų centrą, ieškokite „SMB Service“ ir spustelėkite „Update“. Šis mygtukas nebus pasiekiamas, jei programinė įranga jau atnaujinta.
Labai rekomenduojama greitai pataisyti, nes QNAP įrenginiai yra populiarūs kibernetinių nusikaltėlių taikiniai, nes jie dažniausiai naudojami slaptų asmeninių failų atsarginėms kopijoms kurti ir saugoti. Tai daro juos lengvais taikiniais diegiant informaciją vagiančias kenkėjiškas programas ir puikiu svertu verčiant aukas sumokėti išpirką, kad atgautų savo duomenis.
Pavyzdžiui, 2020 m. birželio mėn. QNAP perspėjo apie eCh0raix išpirkos programinės įrangos atakas, kurios išnaudojo Photo Station programos pažeidžiamumą, kad įsilaužtų į QNAP NAS įrenginius ir užšifruotų.
2020 m. rugsėjį QNAP taip pat įspėjo klientus apie „AgeLocker“ išpirkos reikalaujančių programų atakas, nukreiptas į viešai atskleistus NAS įrenginius, kuriuose veikia senesnės ir pažeidžiamos „Photo Station“ versijos. 2021 m. birželio mėn. eCh0raix (QNAPCrypt) grįžo su naujomis atakomis, išnaudojančiomis žinomus pažeidžiamumus ir žiauriai verčiančias NAS paskyras naudojant silpnus slaptažodžius.
Kitos pastarojo meto atakos, nukreiptos prieš QNAP įrenginius, apima „DeadBolt“, „Checkmate“ ir „eCh0raix“ išpirkos reikalaujančių programų kampanijas, kurios piktnaudžiavo įvairiais saugumo spragomis, kad šifruotų duomenis internete veikiančiuose NAS įrenginiuose.