QNAP виправляє небезпечну вразливість, яка може дозволити зловмисникам скомпрометувати вразливі пристрої
QNAP виправив небезпечну вразливість, яка дозволяє зловмисникам скомпрометувати вразливі пристрої. Проблема існує через неправильний контроль доступу в рішенні резервного копіювання даних QNAP HBS 3 Hybrid Backup Sync.
Уражене програмне забезпечення належним чином не обмежує зловмисників у доступі до системних ресурсів, які дозволяють їм підвищувати свої привілеї, виконувати команди віддалено та зчитувати дані без належної авторизації.
Вразливість ( CVE-2021-28809 ) була виправлена в наступних версіях рішення:
-
QTS 4.3.6: HBS 3 v3.0.210507 і вище;
-
QTS 4.3.4: HBS 3 v3.0.210506 і вище;
-
QTS 4.3.3: HBS 3 v3.0.210506 і вище.
Однак, хоча QNAP випустила оновлення безпеки, яке повідомило про виправлення вразливості, у повідомленні про новий випуск програми не вказано жодних оновлень безпеки після 14 травня 2021 року.
Як повідомляє QNAP, вразливість не впливає на пристрої під керуванням QTS 4.5.x з HBS версій 3 v16.x.
У квітні цього року QNAP NAS піддався масованим атакам програм-вимагачів Qlocker. 22 квітня QNAP настійно рекомендував своїм користувачам встановити останні оновлення для трьох додатків, включаючи Hybrid Backup Sync, щоб запобігти можливим атакам програм-вимагачів.