Провідні виробники мережевих сховищ даних (NAS) – QNAP, Synology та TrueNAS – продемонстрували блискавичну реакцію на результати престижного хакерського змагання Pwn2Own Ireland 2024. Незважаючи на стандартний 90-денний термін для усунення виявлених проблем, компанії вирішили діяти негайно, випустивши оновлення безпеки протягом кількох днів після завершення конкурсу.
QNAP: швидке усунення критичних вразливостей нульового дня
QNAP став першим виробником, який відреагував на результати Pwn2Own, випустивши патчі для двох критичних вразливостей нульового дня:
1. Віддалене виконання довільного коду (CVE-2024-50388)
Ця вразливість, виявлена в HBS 3 Hybrid Backup Sync (версії 25.1.x), дозволяла зловмисникам віддалено виконувати довільні команди на пристрої. Команда Viettel Cyber Security успішно використала цю ваду для отримання прав адміністратора на NAS TS-464. QNAP оперативно випустила виправлення у версії HBS 3 Hybrid Backup Sync 25.1.1.673.
2. SQL-ін’єкція в службі SMB (CVE-2024-50387)
Друга критична вразливість, що дозволяла проводити SQL-ін’єкції, була виявлена в службі SMB. Команда DEVCORE продемонструвала можливість отримання root shell та перехоплення управління NAS TS-464 за допомогою цієї вади. QNAP усунула проблему у версіях 4.15.002 та h4.15.002 свого програмного забезпечення.
Synology та TrueNAS: швидка відповідь на загрози
Synology також оперативно відреагувала на результати Pwn2Own, випустивши два бюлетені безпеки. Компанія повідомила про усунення критичних вразливостей віддаленого виконання коду в додатках Photos для DMS та BeePhotos для BeeStation. Ці оновлення демонструють серйозне ставлення Synology до безпеки своїх продуктів та захисту користувачів.
TrueNAS, у свою чергу, заявила про початок роботи над виправленнями для виявлених 0-day вразливостей. Компанія підкреслила, що експлуатація цих вразливостей можлива лише при використанні налаштувань за замовчуванням. TrueNAS рекомендує користувачам дотримуватися рекомендацій з посібника з безпеки для мінімізації ризиків до випуску офіційних патчів.
Швидка реакція виробників NAS на результати Pwn2Own 2024 демонструє зростаюче розуміння важливості кібербезпеки в індустрії. Оперативне усунення критичних вразливостей не тільки захищає користувачів, але й зміцнює довіру до брендів. Цей випадок також підкреслює необхідність постійної пильності та регулярного оновлення програмного забезпечення для забезпечення безпеки мережевих сховищ даних. Користувачам NAS рекомендується регулярно перевіряти наявність оновлень безпеки та своєчасно їх встановлювати, щоб захистити свої дані від потенційних кіберзагроз.
