QNAP исправил опасную уязвимость, позволяющую злоумышленникам скомпрометировать уязвимые устройства
QNAP исправил опасную уязвимость, позволяющую злоумышленникам скомпрометировать уязвимые устройства
QNAP исправил опасную уязвимость, позволяющую злоумышленникам скомпрометировать уязвимые устройства. Проблема существует из-за некорректного контроля доступа в решении QNAP для резервного копирования данных HBS 3 Hybrid Backup Sync.
Уязвимое ПО должным образом не ограничивает злоумышленникам доступ к системным ресурсам, позволяющим им повышать свои привилегии, удаленно выполнять команды и читать данные без надлежащей авторизации.
Уязвимость ( CVE-2021-28809 ) была исправлена в следующих версиях решения:
-
QTS 4.3.6: HBS 3 v3.0.210507 и выше;
-
QTS 4.3.4: HBS 3 v3.0.210506 и выше;
-
QTS 4.3.3: HBS 3 v3.0.210506 и выше.
Тем не менее, хотя QNAP выпустила обновление безопасности, в котором сообщила об исправлении уязвимости, в уведомлении о выходе новых версий приложения не указаны никакие обновления безопасности после 14 мая 2021 года.
Как сообщила компания QNAP, уязвимость не затрагивает устройства под управлением QTS 4.5.x с версиями HBS 3 v16.x.
В апреле нынешнего года NAS QNAP подвергались массовым атакам вымогательского ПО Qlocker. 22 апреля QNAP настоятельно рекомендовала своим пользователям установить последние обновления для трех приложений, в том числе в Hybrid Backup Sync, с целью предотвращения возможных атак вымогательского ПО.
