Η QNAP προειδοποίησε τους πελάτες να επιδιορθώσουν μια κρίσιμη ευπάθεια ASP.NET Core που επηρεάζει επίσης το NetBak PC Agent της εταιρείας, ένα βοηθητικό πρόγραμμα των Windows για τη δημιουργία αντιγράφων ασφαλείας δεδομένων σε μια συσκευή αποθήκευσης συνδεδεμένου με το δίκτυο (NAS) QNAP.
Παρακολούθηση ως CVE-2025-55315αυτό το ελάττωμα παράκαμψης ασφαλείας εντοπίστηκε στον διακομιστή ιστού Kestrel ASP.NET Core και δίνει τη δυνατότητα σε εισβολείς με χαμηλά προνόμια να παραβιάζουν τα διαπιστευτήρια άλλων χρηστών ή να παρακάμπτουν τα στοιχεία ελέγχου ασφαλείας διεπαφής μέσω Λαθρεμπόριο αιτημάτων HTTP.
“Το NetBak PC Agent εγκαθιστά και εξαρτάται από τα στοιχεία του Microsoft ASP.NET Core κατά την εγκατάσταση. Επομένως, οι υπολογιστές που εκτελούν το NetBak PC Agent ενδέχεται να περιέχουν μια επηρεασμένη έκδοση του ASP.NET Core, εάν το σύστημα δεν έχει ενημερωθεί.” είπε η QNAP.
“Η QNAP συνιστά ανεπιφύλακτα στους χρήστες να διασφαλίζουν ότι τα συστήματα Windows τους έχουν εγκατεστημένες τις πιο πρόσφατες ενημερώσεις του Microsoft ASP.NET Core.”
Για να ασφαλίσουν τα συστήματά τους από πιθανές επιθέσεις, συνιστάται στους χρήστες QNAP είτε να εγκαταστήσουν ξανά την εφαρμογή NetBak PC Agent για να λάβουν τα πιο πρόσφατα στοιχεία εκτέλεσης ASP.NET Core ή να ενημερώσουν με μη αυτόματο τρόπο το ASP.NET Core στους υπολογιστές τους κατεβάζοντας και εγκαθιστώντας το πιο πρόσφατο ASP.NET Core Runtime (Πακέτο φιλοξενίας) από το Σελίδα λήψης .NET 8.0.
Όπως εξήγησε ο διευθυντής τεχνικού προγράμματος ασφάλειας .NET Barry Dorrans πριν από δύο εβδομάδες, όταν η Microsoft επιδιορθώθηκε αυτό το θέμα ευπάθειας (το οποίο επισημάνθηκε με την “υψηλότερη ποτέ” βαθμολογία σοβαρότητας που έλαβε ένα ελάττωμα ασφαλείας Core του ASP.NET), ο αντίκτυπος των επιθέσεων CVE-2025-55315 εξαρτάται από τη στοχευμένη εφαρμογή ASP.NET.
Η επιτυχής εκμετάλλευση θα μπορούσε να επιτρέψει στους εισβολείς να συνδεθούν ως άλλος χρήστης (για κλιμάκωση των προνομίων), να παρακάμψουν ελέγχους πλαστογράφησης αιτημάτων μεταξύ τοποθεσιών (CSRF) ή να πραγματοποιήσουν επιθέσεις ένεσης.
“Εάν γίνει επιτυχής εκμετάλλευση, ένας επαληθευμένος εισβολέας θα μπορούσε να στείλει ειδικά κατασκευασμένα αιτήματα HTTP στον διακομιστή ιστού, με αποτέλεσμα μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα, τροποποίηση αρχείων διακομιστή ή περιορισμένους όρους άρνησης υπηρεσίας”, πρόσθεσε η QNAP.
Τον Ιανουάριο, η QNAP κυκλοφόρησε επίσης ενημερώσεις ασφαλείας για να επιδιορθώσει μισή ντουζίνα ευπάθειες rsync στο HBS 3 Hybrid Backup Sync 25.1.x της εταιρείας λύση δημιουργίας αντιγράφων ασφαλείας δεδομένων και αποκατάστασης καταστροφών, που θα μπορούσε να επιτρέψει στους απομακρυσμένους εισβολείς να εκτελέσουν κακόβουλα δημιουργημένο κώδικα σε μη επιδιορθωμένες συσκευές συνδεδεμένης αποθήκευσης δικτύου (NAS).
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
