QNAPは木曜日、セキュリティ研究者がPwn2Own Ireland 2024コンペティションでTS-464 NASデバイスをハッキングするために悪用した重大なゼロデイ脆弱性を修正した。
CVE-2024-50388として追跡されているこのセキュリティ上の欠陥は、同社のディザスタリカバリおよびデータバックアップソリューションであるHBS 3 Hybrid Backup Syncバージョン25.1.xのOSコマンドインジェクションの弱点に起因するものです。
「OSコマンドインジェクションの脆弱性がHBS 3 Hybrid Backup Syncに影響することが報告されています。この脆弱性が悪用されると、リモートの攻撃者に任意のコマンドを実行される可能性があります。
同社はHBS 3 Hybrid Backup Sync 25.1.1.673以降でこのセキュリティバグに対処しています。
NASデバイスのHBS 3をアップデートするには、管理者としてQTSまたはQuTS heroにログインし、App Centerを開いて「HBS 3 Hybrid Backup Sync」を検索します。
アップデートがある場合は、「アップデート」をクリックします。ただし、HBS 3 Hybrid Backup Syncがすでに最新の状態である場合は、「アップデート」ボタンは表示されません。
このゼロデイ・パッチは、Pwn2Own Ireland 2024の3日目にViettel Cyber SecurityのHa The Long氏とHa Anh Hoang氏が任意のコードを実行し、管理者権限を獲得した5日後に適用されました。
しかし、Pwn2Ownコンテストの後、トレンドマイクロのZero Day Initiativeがコンテスト中にデモされ公開されたセキュリティバグの詳細を公表するまで90日間が与えられていることから、ベンダーは通常、セキュリティパッチのリリースに時間をかける。
10月25日(金)に4日間の競技が終了したPwn2Own Ireland 2024では、チームViettelが優勝した。70以上のユニークなゼロデイ脆弱性を公開したハッカーに100万ドル以上の賞金が授与された。
QNAPは3年前にもハイブリッド・バックアップ同期ソリューションのバックドア・アカウント(CVE-2021-28799)を削除しており、マルチメディア・コンソールおよびメディア・ストリーミング・アドオン(CVE-2020-36195)のSQLインジェクションの脆弱性とともに悪用され、インターネットに露出したNASデバイスにQlockerランサムウェアを展開してファイルを暗号化しました。
QNAPデバイスは、機密性の高い個人ファイルを保存しているため、ランサムウェアギャングの間で人気のあるターゲットであり、被害者に身代金を支払わせてデータを復号化するための絶好の手段となっています。
2020年6月、QNAPはPhoto Stationアプリのセキュリティ欠陥を悪用したeCh0raixランサムウェア攻撃について警告した。その1年後、eCh0raix(別名QNAPCrypt)は既知の脆弱性を悪用し、脆弱なパスワードのアカウントをブルートフォースする攻撃で再発しました。
QNAPはまた、2020年9月に、旧バージョンで脆弱なPhoto Stationを実行している一般に公開されたNASデバイスを標的としたAgeLockerランサムウェア攻撃について顧客に警告を発しました。
Comments