Die führenden Hersteller von Network Attached Storage (NAS) Systemen QNAP, Synology und TrueNAS haben prompt auf die Ergebnisse des renommierten Hacking-Wettbewerbs Pwn2Own Ireland 2024 reagiert. Obwohl den Unternehmen eine 90-Tage-Frist zur Behebung der Probleme eingeräumt wurde, entschieden sie sich für sofortiges Handeln und demonstrierten damit ihr Engagement für die Sicherheit ihrer Produkte.
QNAP: Schnelle Behebung kritischer Zero-Day-Schwachstellen
QNAP reagierte als erstes Unternehmen auf die Pwn2Own-Ergebnisse und veröffentlichte Patches für zwei kritische Zero-Day-Schwachstellen:
1. Remote Code Execution (CVE-2024-50388)
Diese Schwachstelle wurde in HBS 3 Hybrid Backup Sync (Version 25.1.x) entdeckt und ermöglichte Angreifern die Remote-Ausführung beliebiger Befehle auf dem Gerät. Das Viettel Cyber Security Team nutzte diesen Bug erfolgreich aus, um Administratorrechte auf einem NAS TS-464 zu erlangen. QNAP veröffentlichte umgehend einen Fix in HBS 3 Hybrid Backup Sync Version 25.1.1.673.
2. SQL-Injection in SMB-Dienst (CVE-2024-50387)
Die zweite kritische Schwachstelle, die SQL-Injections ermöglichte, wurde im SMB-Dienst entdeckt. Das DEVCORE-Team demonstrierte die Möglichkeit, eine Root-Shell zu erhalten und die Kontrolle über ein NAS TS-464 zu übernehmen. QNAP behob das Problem in den Versionen 4.15.002 und h4.15.002.
Synology und TrueNAS: Schnelle Reaktion auf Bedrohungen
Synology reagierte ebenfalls zügig auf die Pwn2Own-Ergebnisse und veröffentlichte zwei Sicherheitsbulletins. Das Unternehmen meldete die Behebung kritischer Remote Code Execution-Schwachstellen in den Anwendungen Photos für DMS und BeePhotos für BeeStation.
TrueNAS gab bekannt, dass es mit der Entwicklung von Patches für die entdeckten 0-Day-Schwachstellen begonnen hat. Das Unternehmen betonte, dass die Ausnutzung dieser Schwachstellen nur bei Verwendung der Standardeinstellungen möglich ist. TrueNAS empfiehlt Benutzern, den Anweisungen im Sicherheitsleitfaden zu folgen, um Risiken zu minimieren.
Die schnelle Reaktion der NAS-Hersteller auf die Ergebnisse von Pwn2Own 2024 zeigt ein wachsendes Verständnis für die Bedeutung der Cybersicherheit in der Branche. Die prompte Behebung kritischer Schwachstellen schützt nicht nur die Benutzer, sondern stärkt auch das Vertrauen in die Marken. Dieser Vorfall unterstreicht jedoch auch die Notwendigkeit ständiger Wachsamkeit und regelmäßiger Software-Updates zur Gewährleistung der Sicherheit von Netzwerkspeichersystemen. Für Unternehmen und Privatanwender ist es unerlässlich, ihre NAS-Systeme stets auf dem neuesten Stand zu halten und bewährte Sicherheitspraktiken zu implementieren, um potenzielle Angriffe zu verhindern und sensible Daten zu schützen.
