QNAP corrige Zero-Day
30 de Outubro de 2024

A QNAP corrigiu uma vulnerabilidade crítica de zero-day que foi explorada por pesquisadores de segurança na quinta-feira para hackear um dispositivo NAS TS-464 durante a competição Pwn2Own Ireland 2024.

Identificada como CVE-2024-50388, a falha de segurança é causada por uma fraqueza de injeção de comando no sistema operacional na versão 25.1.x do HBS 3 Hybrid Backup Sync, a solução de recuperação de desastres e backup de dados da empresa.

"Uma vulnerabilidade de injeção de comando no sistema operacional foi reportada como afetando o HBS 3 Hybrid Backup Sync. Se explorada, a vulnerabilidade poderia permitir que atacantes remotos executassem comandos arbitrários", disse a QNAP em uma nota de segurança na terça-feira(29).

A empresa corrigiu o bug de segurança no HBS 3 Hybrid Backup Sync 25.1.1.673 e versões posteriores.

Para atualizar o HBS 3 no seu dispositivo NAS, faça login no QTS ou QuTS hero como administrador, abra o App Center e procure por "HBS 3 Hybrid Backup Sync".

Se uma atualização estiver disponível, clique em "Atualizar".

Entretanto, o botão de "Atualizar" não estará disponível se seu HBS 3 Hybrid Backup Sync já estiver atualizado.

A vulnerabilidade de zero-day foi corrigida cinco dias após permitir que Ha The Long e Ha Anh Hoang da Viettel Cyber Security executassem código arbitrário e obtivessem privilégios de admin no terceiro dia da Pwn2Own Ireland 2024.

No entanto, após o concurso Pwn2Own, os fornecedores costumam demorar para liberar patches de segurança, uma vez que recebem 90 dias até a iniciativa Zero Day da Trend Micro publicar detalhes sobre os bugs de segurança demonstrados e divulgados durante o concurso.

A equipe Viettel venceu na Pwn2Own Ireland 2024, que terminou após quatro dias de competição, na sexta-feira, 25 de outubro.

Mais de 1 milhão de dólares em prêmios foram concedidos a hackers que divulgaram mais de 70 vulnerabilidades zero-day únicas.

Há três anos, a QNAP também removeu uma conta backdoor em sua solução Hybrid Backup Sync ( CVE-2021-28799 ), que foi explorada junto a uma vulnerabilidade de injeção SQL no Multimedia Console e no Media Streaming Add-On ( CVE-2020-36195 ) para implantar o ransomware Qlocker em dispositivos NAS expostos na Internet para criptografar arquivos.

Os dispositivos QNAP são um alvo popular entre os grupos de ransomware porque armazenam arquivos pessoais sensíveis, tornando-os uma alavanca perfeita para forçar as vítimas a pagar um resgate para descriptografar os dados.

Em junho de 2020, a QNAP alertou sobre ataques de ransomware eCh0raix explorando falhas de segurança no aplicativo Photo Station.

Um ano depois, o eCh0raix (também conhecido como QNAPCrypt) retornou em ataques explorando vulnerabilidades conhecidas e forçando a entrada em contas com senhas fracas.

A QNAP também alertou os clientes em setembro de 2020 sobre ataques de ransomware AgeLocker visando dispositivos NAS expostos publicamente que executavam versões mais antigas e vulneráveis do Photo Station.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...