QNAP dicht kritiek Pwn2Own-lek dat remote aanvaller NAS laat overnemen

[Captain Kirk]

QNAP heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor NAS-apparaten van de fabrikant door een remote aanvaller zijn over te nemen. Via het beveiligingslek, aangeduid als CVE-2024-50388, kan een ongeauthenticeerde aanvaller die de NAS kan benaderen willekeurige systeemcommando's uitvoeren. De kwetsbaarheid werd vorige week tijdens de Pwn2Own-wedstrijd in Ierland gedemonstreerd.

Tijdens het evenement worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten en software. De QNAP QHora-322 router en TS-464 NAS waren onderdeel van de wedstrijd en werden door verschillende onderzoekers via meerdere beveiligingslekken gecompromitteerd, wat QNAP een 'leerervaring' noemde. Het 'command injection' beveiligingslek dat onderzoekers van Viettel Cyber Security demonstreerden, en het injecteren van systeemcommando's mogelijk maakt, is door QNAP verholpen in HBS 3 Hybrid Backup Sync 25.1.1.673 en nieuwer.

HBS 3 is een oplossing van QNAP voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Gebruikers moeten de oplossing wel zelf via het QNAP App Center installeren. Kwetsbaarheden in HBS 3 zijn in het verleden gebruikt bij ransomware-aanvallen op QNAP NAS-apparaten. Wanneer de overige tijdens Pwn2Own gedemonstreerde kwetsbaarheden een update krijgen is onbekend.

 

bron: https://www.security.nl