QNAP исправил опасную уязвимость, позволяющую злоумышленникам скомпрометировать уязвимые устройства

QNAP исправил опасную уязвимость, позволяющую злоумышленникам скомпрометировать уязвимые устройства. Проблема существует из-за некорректного контроля доступа в решении QNAP для резервного копирования данных HBS 3 Hybrid Backup Sync.

Уязвимое ПО должным образом не ограничивает злоумышленникам доступ к системным ресурсам, позволяющим им повышать свои привилегии, удаленно выполнять команды и читать данные без надлежащей авторизации.

Уязвимость ( CVE-2021-28809 ) была исправлена в следующих версиях решения:

• QTS 4.3.6: HBS 3 v3.0.210507 и выше;

• QTS 4.3.4: HBS 3 v3.0.210506 и выше;

• QTS 4.3.3: HBS 3 v3.0.210506 и выше.

Тем не менее, хотя QNAP выпустила обновление безопасности, в котором сообщила об исправлении уязвимости, в уведомлении о выходе новых версий приложения не указаны никакие обновления безопасности после 14 мая 2021 года.

Как сообщила компания QNAP, уязвимость не затрагивает устройства под управлением QTS 4.5.x с версиями HBS 3 v16.x.

В апреле нынешнего года NAS QNAP подвергались массовым атакам вымогательского ПО Qlocker. 22 апреля QNAP настоятельно рекомендовала своим пользователям установить последние обновления для трех приложений, в том числе в Hybrid Backup Sync, с целью предотвращения возможных атак вымогательского ПО.