QNAP heeft een beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor NAS-apparaten van de fabrikant door een remote aanvaller zijn over te nemen. Via het beveiligingslek, aangeduid als CVE-2024-50388, kan een ongeauthenticeerde aanvaller die de NAS kan benaderen willekeurige systeemcommando's uitvoeren. De kwetsbaarheid werd vorige week tijdens de Pwn2Own-wedstrijd in Ierland gedemonstreerd.
Tijdens het evenement worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten en software. De QNAP QHora-322 router en TS-464 NAS waren onderdeel van de wedstrijd en werden door verschillende onderzoekers via meerdere beveiligingslekken gecompromitteerd, wat QNAP een 'leerervaring' noemde. Het 'command injection' beveiligingslek dat onderzoekers van Viettel Cyber Security demonstreerden, en het injecteren van systeemcommando's mogelijk maakt, is door QNAP verholpen in HBS 3 Hybrid Backup Sync 25.1.1.673 en nieuwer.
HBS 3 is een oplossing van QNAP voor het maken en terugplaatsen van back-ups. Het ondersteunt een groot aantal lokale, remote server en cloudopslagdiensten. Gebruikers moeten de oplossing wel zelf via het QNAP App Center installeren. Kwetsbaarheden in HBS 3 zijn in het verleden gebruikt bij ransomware-aanvallen op QNAP NAS-apparaten. Wanneer de overige tijdens Pwn2Own gedemonstreerde kwetsbaarheden een update krijgen is onbekend.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.