Ведущие производители сетевых хранилищ данных (NAS) QNAP, Synology и TrueNAS оперативно отреагировали на результаты престижного хакерского соревнования Pwn2Own Ireland 2024, выпустив исправления для обнаруженных критических уязвимостей. Несмотря на то, что у компаний есть 90-дневный период для устранения проблем, они предпочли действовать незамедлительно, демонстрируя серьезное отношение к безопасности своих продуктов.
QNAP: оперативное устранение критических уязвимостей
Компания QNAP первой отреагировала на результаты Pwn2Own, выпустив патчи для двух критических уязвимостей нулевого дня:
1. Удаленное выполнение произвольного кода (CVE-2024-50388)
Эта уязвимость, обнаруженная в HBS 3 Hybrid Backup Sync (версии 25.1.x), позволяла злоумышленникам удаленно выполнять произвольные команды на устройстве. Команда Viettel Cyber Security успешно использовала этот баг для получения прав администратора на NAS TS-464. QNAP оперативно выпустила исправление в версии HBS 3 Hybrid Backup Sync 25.1.1.673.
2. SQL-инъекция в службе SMB (CVE-2024-50387)
Вторая критическая уязвимость, позволяющая проводить SQL-инъекции, была обнаружена в службе SMB. Команда DEVCORE продемонстрировала возможность получения root shell и перехвата управления NAS TS-464 с помощью этого бага. QNAP устранила проблему в версиях 4.15.002 и h4.15.002.
Synology и TrueNAS: быстрая реакция на угрозы
Synology также оперативно отреагировала на результаты Pwn2Own, выпустив два бюллетеня безопасности. Компания сообщила об устранении критических уязвимостей удаленного выполнения кода в приложениях Photos для DMS и BeePhotos для BeeStation.
TrueNAS, в свою очередь, заявила о начале работы над исправлениями для обнаруженных 0-day уязвимостей. Компания подчеркнула, что эксплуатация этих уязвимостей возможна только при использовании настроек по умолчанию. TrueNAS рекомендует пользователям следовать рекомендациям из руководства по безопасности для минимизации рисков.
Быстрая реакция производителей NAS на результаты Pwn2Own 2024 демонстрирует растущее понимание важности кибербезопасности в индустрии. Оперативное устранение критических уязвимостей не только защищает пользователей, но и укрепляет доверие к брендам. Однако этот случай также подчеркивает необходимость постоянной бдительности и регулярного обновления программного обеспечения для обеспечения безопасности сетевых хранилищ данных.
