Ciberseguridad 360 | QNAP corrige vulnerabilidad zero-day en software de backup NAS

QNAP ha corregido una vulnerabilidad cr�tica zero-day explotada por investigadores de seguridad el jueves para comprometer un dispositivo NAS TS-464 durante la competici�n Pwn2Own Ireland 2024.

Identificado como CVE-2024-50388, el fallo de seguridad est� causado por una debilidad en la inyecci�n de comandos del sistema operativo en la versi�n 25.1.x de HBS 3 Hybrid Backup Sync, la soluci�n de recuperaci�n de desastres y copia de seguridad de datos de la compa��a.

"Se ha informado de una vulnerabilidad de inyecci�n de comandos del sistema operativo que afecta a HBS 3 Hybrid Backup Sync. Si se explota, la vulnerabilidad podr�a permitir a atacantes remotos ejecutar comandos arbitrarios", dijo QNAP en un aviso de seguridad el martes.

La empresa ha solucionado el fallo de seguridad en HBS 3 Hybrid Backup Sync 25.1.1.673 y posteriores.

Para actualizar HBS 3 en su dispositivo NAS, inicie sesi�n en QTS o QuTS hero como administrador, abra el App Center y busque "HBS 3 Hybrid Backup Sync".

Si hay una actualizaci�n disponible, haga clic en "Actualizar". Sin embargo, el bot�n "Actualizar" no estar� disponible si su HBS 3 Hybrid Backup Sync ya est� actualizado.

El zero-day se parche� cinco d�as despu�s de que Ha The Long y Ha Anh Hoang, de Viettel Cyber Security, ejecutaran c�digo arbitrario y obtuvieran privilegios de administrador en el tercer d�a de Pwn2Own Ireland 2024.

Sin embargo, despu�s del concurso Pwn2Own, los proveedores suelen tomarse su tiempo para publicar los parches de seguridad, ya que disponen de 90 d�as hasta que la Zero Day Initiative de Trend Micro publique los detalles sobre los fallos de seguridad demostrados y revelados durante el concurso.

El equipo Viettel gan� Pwn2Own Ireland 2024, que finaliz� tras cuatro d�as de competici�n, el viernes 25 de octubre. Se entregaron m�s de un mill�n de d�lares en premios a los hackers que revelaron m�s de 70 vulnerabilidades �nicas zero-day.

Hace tres a�os, QNAP tambi�n elimin� una cuenta backdoor en su soluci�n Hybrid Backup Sync (CVE-2021-28799), que fue explotada junto con una vulnerabilidad SQL Injection en Multimedia Console y el Media Streaming Add-On(CVE-2020-36195) para desplegar el ransomware Qlocker en dispositivos NAS expuestos a Internet para cifrar archivos.

Los dispositivos QNAP son un objetivo popular entre las bandas de ransomware porque almacenan archivos personales confidenciales, lo que los convierte en la palanca perfecta para obligar a las v�ctimas a pagar un rescate para descifrar los datos.

En junio de 2020, QNAP advirti� de ataques de ransomware eCh0raix que aprovechaban fallos de seguridad de la aplicaci�n Photo Station. Un a�o despu�s, eCh0raix (tambi�n conocido como QNAPCrypt) volvi� en ataques que explotaban vulnerabilidades conocidas y forzaban cuentas con contrase�as d�biles.

QNAP tambi�n alert� a los clientes en septiembre de 2020 de los ataques de ransomware AgeLocker dirigidos a dispositivos NAS expuestos p�blicamente que ejecutaban versiones antiguas y vulnerables de Photo Station.

Fuente: bleepingcomputer