QNAP, Perşembe günü güvenlik araştırmacıları tarafından Pwn2Own Ireland 2024 yarışması sırasında bir TS-464 NAS cihazını hacklemek için kullanılan kritik bir sıfır gün güvenlik açığını düzeltti.
CVE-2024-50388 olarak takip edilen güvenlik açığı, şirketin olağanüstü durum kurtarma ve veri yedekleme çözümü olan HBS 3 Hybrid Backup Sync sürüm 25.1.x’teki işletim sistemi komut ekleme zayıflığından kaynaklanıyor.
QNAP Salı günü yayınlanan bir güvenlik danışma belgesinde, “İşletim sistemi komut ekleme güvenlik açığının HBS 3 Hybrid Backup Sync’i etkilediği bildirildi. Bu güvenlik açığından yararlanılırsa, uzaktaki saldırganların rastgele komutlar yürütmesine izin verilebilir” dedi.
Şirket, HBS 3 Hybrid Backup Sync 25.1.1.673 ve sonraki sürümlerdeki güvenlik hatasını giderdi.
NAS cihazınızda HBS 3’ü güncellemek için QTS veya QuTS Hero’da yönetici olarak oturum açın, Uygulama Merkezini açın ve “HBS 3 Hybrid Backup Sync” ifadesini arayın.
Bir güncelleme mevcutsa “Güncelle”ye tıklayın. Ancak HBS 3 Hybrid Backup Sync’iniz zaten güncelse “Güncelle” düğmesi kullanılamayacaktır.
Sıfır gün, Pwn2Own Ireland 2024’ün üçüncü gününde Viettel Cyber Security’den Ha The Long ve Ha Anh Hoang’ın keyfi kod yürütmesine ve yönetici ayrıcalıkları kazanmasına olanak tanındıktan beş gün sonra yamalandı.
Ancak, Pwn2Own yarışmasından sonra satıcılar genellikle güvenlik yamalarını yayınlamak için zaman ayırıyor; Trend Micro’nun Sıfır Gün Girişimi’nin yarışma sırasında tanıtılan ve açıklanan güvenlik hatalarıyla ilgili ayrıntıları yayınlamasına kadar kendilerine 90 gün süre verildiğini görüyorlar.
Viettel Takımı, dört gün süren yarışmanın ardından 25 Ekim Cuma günü sona eren Pwn2Own Ireland 2024’ü kazandı. 70’in üzerinde benzersiz sıfır gün güvenlik açığını açığa çıkaran bilgisayar korsanlarına 1 milyon dolardan fazla ödül verildi.
Üç yıl önce QNAP, Hibrit Yedekleme Senkronizasyonu çözümündeki (CVE-2021-28799) Multimedya Konsolu ve Medya Akışı Eklentisindeki (CVE-2020-36195) bir SQL Enjeksiyon güvenlik açığıyla birlikte istismar edilen bir arka kapı hesabını da kaldırdı. Dosyaları şifrelemek için Qlocker fidye yazılımını İnternet’e açık NAS cihazlarına dağıtmak için.
QNAP cihazları, hassas kişisel dosyaları depoladıkları için fidye yazılımı çeteleri arasında popüler bir hedeftir; bu da onları, kurbanları verilerin şifresini çözmek için fidye ödemeye zorlamak için mükemmel bir araç haline getirir.
Haziran 2020’de QNAP, Photo Station uygulamasının güvenlik açıklarından yararlanan eCh0raix fidye yazılımı saldırıları konusunda uyardı. Bir yıl sonra, eCh0raix (diğer adıyla QNAPCrypt), bilinen güvenlik açıklarından yararlanan ve zayıf parolalara sahip hesaplara kaba kuvvet uygulayan saldırılarla geri döndü.
QNAP ayrıca Eylül 2020’de müşterileri, eski ve savunmasız Photo Station sürümlerini çalıştıran, halka açık NAS cihazlarını hedef alan AgeLocker fidye yazılımı saldırıları konusunda uyardı.