Η QNAP διόρθωσε επτά ευπάθειες μηδενικής ημέρας που οι ερευνητές ασφαλείας εκμεταλλεύτηκαν για να χακάρουν συσκευές αποθήκευσης συνδεδεμένες με το δίκτυο QNAP (NAS) κατά τη διάρκεια του διαγωνισμού Pwn2Own Ireland 2025.
Τα ελαττώματα επηρεάζουν τα λειτουργικά συστήματα ήρωα QTS και QuTS της QNAP (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849) και το Hyper Data Protector (CVE-2025-59389), το Malware Remover (CVE-13-20) της εταιρείας Λογισμικό συγχρονισμού (CVE-2025-62840, CVE-2025-62842).
Η QNAP ανέφερε σε συμβουλές που δημοσιεύθηκαν την Παρασκευή ότι τα σφάλματα ασφαλείας επιδείχθηκαν στο Pwn2Own από την ομάδα Summoning Team, το DEVCORE, την Ομάδα DDOS και έναν ασκούμενο στην τεχνολογία CyCraft.
Για την επιδιόρθωση αυτών των ελαττωμάτων ασφαλείας, η QNAP συνιστά την ενημέρωση του λογισμικού στην πιο πρόσφατη έκδοση και την αλλαγή όλων των κωδικών πρόσβασης για αυξημένη ασφάλεια.
Το QNAP έχει διορθώσει όλα αυτά τα τρωτά σημεία στις ακόλουθες εκδόσεις λογισμικού:
- Hyper Data Protector 2.2.4.1 και νεότερη έκδοση
- Αφαίρεση κακόβουλου λογισμικού 6.6.8.20251023 και νεότερη έκδοση
- HBS 3 Hybrid Backup Sync 26.2.0.938 και νεότερη έκδοση
- QTS 5.2.7.3297 build 20251024 και μεταγενέστερη
- QuTS hero h5.2.7.3297 build 20251024 και μεταγενέστερη
- QuTS hero h5.3.1.3292 build 20251024 και μεταγενέστερη
Οι χρήστες που θέλουν να ενημερώσουν το λειτουργικό τους σύστημα για να συνδεθούν στο QTS ή το QuTS Hero ως διαχειριστής θα πρέπει να μεταβούν στον Πίνακα Ελέγχου > Σύστημα > Ενημέρωση υλικολογισμικού και να κάνουν κλικ στο “Έλεγχος για ενημέρωση” στην περιοχή Ζωντανή ενημέρωση.
Για να ενημερώσετε τις ευάλωτες εφαρμογές, συνδεθείτε πρώτα στο QTS ή στο QuTS hero ως διαχειριστής και, στη συνέχεια, ανοίξτε το Κέντρο εφαρμογών και κάντε κλικ στο κουμπί αναζήτησης. Πληκτρολογήστε το όνομα της εφαρμογής που θέλετε να ενημερώσετε και πατήστε ENTER. Στα αποτελέσματα αναζήτησης, κάντε κλικ στο “Ενημέρωση” και, στη συνέχεια, επιβεβαιώστε την ενέργεια κάνοντας κλικ στο “OK” στο μήνυμα επιβεβαίωσης που εμφανίζεται.
“Για να ασφαλίσετε τη συσκευή σας, συνιστούμε να ενημερώνετε τακτικά το σύστημά σας στην πιο πρόσφατη έκδοση για να επωφεληθείτε από διορθώσεις ευπάθειας. Μπορείτε να ελέγχετε το κατάσταση υποστήριξης προϊόντος για να δείτε τις πιο πρόσφατες ενημερώσεις που είναι διαθέσιμες στο μοντέλο NAS σας.” είπε η QNAP.
Πριν από ένα χρόνο, ο κατασκευαστής NAS διορθώθηκε δύο άλλες zero-days που εκμεταλλεύτηκαν κατά τη διάρκεια του διαγωνισμού Pwn2Own Ireland 2024: μια αδυναμία εισαγωγής εντολών λειτουργικού συστήματος (CVE-2024-50388) στη λύση ανάκτησης καταστροφής και δημιουργίας αντιγράφων ασφαλείας δεδομένων Hybrid Backup Sync και μια έγχυση SQL (2nerability-20205) Υπηρεσία SMB της QNAP.
Σήμερα, η QNAP κυκλοφόρησε επίσης το QuMagie 2.7.0 με ενημερώσεις κώδικα για μια κρίσιμη ευπάθεια SQLi (CVE-2025-52425) στη λύση διαχείρισης και κοινής χρήσης φωτογραφιών που μπορεί να επιτρέψει σε απομακρυσμένους εισβολείς να εκτελέσουν μη εξουσιοδοτημένο κώδικα ή εντολές σε ευάλωτες συσκευές.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
