QNAP, PWN2own Ireland 2024 yarışması sırasında bir TS-464 NAS cihazını hacklemek için Perşembe günü güvenlik araştırmacıları tarafından kullanılan kritik bir sıfır günlük güvenlik açığını düzeltti.
CVE-2024-50388 olarak izlenen güvenlik kusuru, şirketin felaket kurtarma ve veri yedekleme çözümü olan HBS 3 hibrid yedek senkronizasyon sürüm 25.1.x'te bir OS komut enjeksiyonu zayıflığından kaynaklanır.
QNAP, Salı Güvenlik Danışmanlığı'nda, "Bir OS komutu enjeksiyon güvenlik açığının HBS 3 hibrid yedekleme senkronizasyonunu etkilediği bildirilmiştir. Eğer istismar edilirse, güvenlik açığı uzak saldırganların keyfi komutlar yürütmesine izin verebilir." Dedi.
Şirket, HBS 3 Hybrid Backup Sync 25.1.1.673 ve daha sonra güvenlik hatasını ele aldı.
NAS cihazınızdaki HBS 3'ü güncellemek için, yönetici olarak QTS veya Quts Hero'da oturum açın, uygulama merkezini açın ve "HBS 3 Hibrid Backup Sync" i arayın.
Bir güncelleme varsa, "Güncelleme" yi tıklayın. Ancak, HBS 3 hibrid yedekleme senkronizasyonunuz zaten güncelse "Güncelleme" düğmesi kullanılamaz.
Sıfır günü, Viettel siber güvenliğinin uzun ve Ha Anh Hoang'ı, PWN2OWN İrlanda 2024'ün üçüncü gününde keyfi kod yürütmek ve yönetici ayrıcalıkları kazanmasını sağladıktan beş gün sonra yamalandı.
Bununla birlikte, PWN2own yarışmasından sonra, satıcılar genellikle güvenlik yamalarını yayınlamak için zaman ayırırlar ve Trend Micro'nun Sıfır Gün Girişimi, yarışma sırasında demo ve açıklanan güvenlik hataları hakkında ayrıntıları yayınlayana kadar 90 gün verilir.
Viettel Takımı, 25 Ekim Cuma günü dört günlük yarışmadan sonra sona eren PWN2OWN İrlanda 2024 kazandı. 70'den fazla benzersiz sıfır gün güvenlik açığını açıklayan bilgisayar korsanlarına 1 milyon dolardan fazla ödül verildi.
Üç yıl önce QNAP, multimedya konsolunda ve medya akışı eklentisinde bir SQL enjeksiyon güvenlik açığı ile birlikte sömürülen hibrid yedekleme senkronizasyon çözümünde (CVE-2021-28799) bir arka kapı hesabını da kaldırdı (CVE-20195) Dosyaları şifrelemek için Qlocker fidye yazılımlarını internete maruz kalan NAS cihazlarına dağıtmak için.
QNAP cihazları, fidye yazılımı çeteleri arasında popüler bir hedeftir, çünkü hassas kişisel dosyaları saklarlar, bu da kurbanları verilerin şifresini çözmek için bir fidye ödemeye zorlamak için mükemmel bir kaldıraç yaparlar.
Haziran 2020'de QNAP, ECH0RAix fidye yazılımı saldırılarını fotoğraf istasyonu uygulama güvenlik kusurlarından yararlanarak uyardı. Bir yıl sonra, ECH0RAix (diğer adıyla QNAPCrypt), bilinen güvenlik açıklarından ve zayıf şifrelerle kaba zorlama hesaplarından yararlanan saldırılara geri döndü.
QNAP ayrıca Eylül 2020'de eski ve savunmasız fotoğraf istasyonu sürümlerini çalıştıran halka açık NAS cihazlarını hedefleyen Agelocker fidye yazılımı saldırılarını da uyardı.
70'den fazla sıfır gün kusuru, hackerların pwn2own İrlanda'da 1 milyon dolar alıyor
QNAP, Synology, Lexmark Cihazları PWN2OWN 3. gününde hacklendi
Samsung Galaxy S24 ve Sonos Era, PWN2OWN İrlanda 2. Günü'nde hacklendi
Bilgisayar korsanları Pwn2own İrlanda'nın ilk gününde 52 sıfır gün istismar
Masif Psaux Fidye Yazılımı Saldırısı 22.000 CyberPanel Örneği
Kaynak: Bleeping Computer