QNAP załatało sześć luk w zabezpieczeniach „rsync” w swoim oprogramowaniu HBS 3 Hybrid Backup Sync, które jest wykorzystywane do tworzenia kopii zapasowych danych i odzyskiwania po awarii na sieciowych urządzeniach pamięci masowej (NAS).
Załatane luki w zabezpieczeniach obejmują szereg problemów, w tym jeden oceniony jako krytyczny, który mógłby zostać wykorzystany przez atakującego do wykonania kodu:
- CVE-2024-12084 (wynik CVSS: 9.8) to przepełnienie bufora stosu w rsync deamon;
- CVE-2024-12085 (wynik CVSS: 7.5) to luka w zabezpieczeniach powodująca wyciek danych w rsync deamon;
- CVE-2024-12086 (wynik CVSS: 6.1) to luka w zabezpieczeniach plików, która mogłaby umożliwić odczyt plików;
- CVE-2024-12087 (wynik CVSS: 6.5) to problem z przechodzeniem ścieżek, który mógłby zostać wykorzystany do zapisywania plików na kliencie;
- CVE-2024-12088 (wynik CVSS: 6.5) to niepowodzenie weryfikacji łączy symbolicznych, co może prowadzić do możliwego przechodzenia ścieżek i zapisywania plików;
- CVE-2024-12747 (wynik CVSS: 5.6) to „link race condition”, który potencjalnie może prowadzić do wycieku danych lub eskalacji uprawnień.
Urządzenia NAS oraz inne urządzenia podłączone do Internetu często stają się celem ataków. W związku z tym użytkownicy produktów QNAP, którzy korzystają z wersji HBS 3 Hybrid Backup Sync starszych niż 25.1.4.952, powinni jak najszybciej przeprowadzić aktualizację, aby zminimalizować ryzyko ataku.
Źródło: Patched six rsync vulnerabilities in its HBS 3 Hybrid Backup Sync software
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
