image

QNAP dicht kritiek Pwn2Own-lek dat remote aanvaller NAS laat overnemen

dinsdag 29 oktober 2024, 15:52 door Redactie, 3 reacties

QNAP heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor NAS-apparaten van de fabrikant door een remote aanvaller zijn over te nemen. Via het beveiligingslek, aangeduid als CVE-2024-50388, kan een ongeauthenticeerde aanvaller die de NAS kan benaderen willekeurige systeemcommando's uitvoeren. De kwetsbaarheid werd vorige week tijdens de Pwn2Own-wedstrijd in Ierland gedemonstreerd.

Tijdens het evenement worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten en software. De QNAP QHora-322 router en TS-464 NAS waren onderdeel van de wedstrijd en werden door verschillende onderzoekers via meerdere beveiligingslekken gecompromitteerd, wat QNAP een 'leerervaring' noemde. Het 'command injection' beveiligingslek dat onderzoekers van Viettel Cyber Security demonstreerden, en het injecteren van systeemcommando's mogelijk maakt, is door QNAP verholpen in HBS 3 Hybrid Backup Sync 25.1.1.673 en nieuwer.

HBS 3 is een oplossing van QNAP voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Gebruikers moeten de oplossing wel zelf via het QNAP App Center installeren. Kwetsbaarheden in HBS 3 zijn in het verleden gebruikt bij ransomware-aanvallen op QNAP NAS-apparaten. Wanneer de overige tijdens Pwn2Own gedemonstreerde kwetsbaarheden een update krijgen is onbekend.

Reacties (3)
29-10-2024, 18:30 door Anoniem
QNAP is een fijn bedrijf.

Ze zijn razendsnel met updates voor kwetsbaarheden.

Zowel HBS3 als FW 5.2.1.2930 build 20241025 staan klaar om geinstalleerd te worden.
Gisteren, 09:00 door Anoniem
QNAP is helemaal geen fijn bedrijf. Niet alleen hebben ze veel meer kritieke kwetsbaarheden, en zelfs malware, dan andere fabrikanten, er zijn de nodige gevallen bekend waarbij ze traag, ontkennend of zelfs niet gereageerd hebben op kwetsbaarheden.

Je kunt beter UNRAID draaien op je QNAP hardware.
Gisteren, 10:06 door Anoniem
Door Anoniem: QNAP is een fijn bedrijf.

Ze zijn razendsnel met updates voor kwetsbaarheden.

Zowel HBS3 als FW 5.2.1.2930 build 20241025 staan klaar om geinstalleerd te worden.

QNAP is het opslagbroertje van Adobe Flash. Blader voor de gein even door https://www.cvedetails.com/vulnerability-list/vendor_id-10080/qnap.html. Ik zou hier niet heel erg trots op zijn als bedrijf. Ze moeten er voor zorgen dat ze secure software maken en die updates in de eerste plaats al niet nodig zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.