Уязвимость позволяет злоумышленникам скомпрометировать уязвимые устройства.
https://www.securitylab.ru/upload/ib...38b1c7f028.jpg
Тайваньский производитель сетевых хранилищ (NAS) QNAP исправил опасную уязвимость, позволяющую злоумышленникам скомпрометировать уязвимые устройства. Проблема существует из-за некорректного контроля доступа в решении QNAP для резервного копирования данных HBS 3 Hybrid Backup Sync.
Уязвимое ПО должным образом не ограничивает злоумышленникам доступ к системным ресурсам, позволяющим им повышать свои привилегии, удаленно выполнять команды и читать данные без надлежащей авторизации.
Уязвимость ( CVE-2021-28809 ) была исправлена в следующих версиях решения:
<ul><li>QTS 4.3.6: HBS 3 v3.0.210507 и выше;</li>
</ul><ul><li>QTS 4.3.4: HBS 3 v3.0.210506 и выше;</li>
</ul><ul><li>QTS 4.3.3: HBS 3 v3.0.210506 и выше.</li>
</ul>Тем не менее, хотя QNAP выпустила обновление безопасности, в котором сообщила об исправлении уязвимости, в уведомлении о выходе новых версий приложения не указаны никакие обновления безопасности после 14 мая 2021 года.
Как сообщила компания QNAP, уязвимость не затрагивает устройства под управлением QTS 4.5.x с версиями HBS 3 v16.x.
Напомним , в апреле нынешнего года NAS QNAP подвергались массовым атакам вымогательского ПО Qlocker. 22 апреля QNAP настоятельно рекомендовала своим пользователям установить последние обновления для трех приложений, в том числе в Hybrid Backup Sync, с целью предотвращения возможных атак вымогательского ПО.