شرکت QNAP، یک آسیب پذیری بحرانی روز صفر (CVE-2024-50388) را که در رقابت Pwn2Own Ireland 2024 در دستگاه TS-464 NAS کشف شده بود، پچ کرد.
این آسیب پذیری ناشی از یک باگ تزریق فرمان سیستم عامل در نسخه 25.1.X محصول HBS 3 Hybrid Backup Sync است. یک مهاجم از راه دور میتواند از این آسیب پذیری برای اجرای دستورات کد دلخواه در دستگاههای آسیب پذیر سوء استفاده کند.
HBS 3، عملکرد پشتیبان گیری، همگام سازی و بازیابی اطلاعات را در نرم افزار QTS ادغام میکند و شما را قادر میسازد تا به سادگی بتوانید اطلاعات خودتان را به سیستم لوکال یا راه دور و سیستم ابری منتقل کنید.
به منظور به روز رسانی HBS 3 در دستگاه NAS خود، با سطح دسترسی admin به QTS یا QuTS hero وارد شوید، App Center را باز و “HBS 3 Hybrid Backup Sync” را جستجو کنید. چنانچه نسخه به روزرسانی در دسترس است، روی گزینه «به روزرسانی» کلیک کنید.
شرکت کنندگان تیم امنیت سایبری Viettel در روز سوم مسابقات Pwn2Own Ireland 2024توانستند به دستگاه TS-464 NAS نفوذ کنند. حال این آسیب پذیری پس از گذشت پنج روز، پچ شده است. تیم Viettel با کسب 33 امتیاز، رتبه اول مسابقات و عنوان «Master of Pwn» را دریافت کرد.
مسابقات Pwn2Own Ireland 2024طی چهار روز از ۲۲ تا 25 اکتبر ۲۰۲۴ در ایرلند برگزار شد و شرکت کنندگان با کشف بیش از 70 آسیب پذیری روز صفر، بیش از یک میلیون دلار جایزه دریافت کردند!
جالب است بدانید که دستگاههای QNAP هدف محبوبی برای اپراتورهای باج افزار به شمار میآیند، چرا که فایلهای شخصی حساس را ذخیره میکنند. از این رو، اپراتورهای باج افزار، آنها را به اهرمی عالی برای وادار کردن قربانیان به پرداخت باج برای رمزگشایی دادهها تبدیل کردهاند.