Инженеры компании Qnap устранили две критические уязвимости в приложении Helpdesk, которые позволяли злоумышленникам захватить полный контроль над уязвимыми NAS.
Helpdesk — это предустановленное приложение, которое поставляется с устройствами Qnap и позволяет администраторам отправлять запросы о помощи в службу поддержки компании. В Helpdesk есть и функция удаленной поддержки, которая позволяет саппорту подключаться к устройству с разрешения владельца. именно с ней и были связаны исправленные проблемы.
Уязвимости получили идентификаторы CVE-2020-2506 и CVE-2020-2507, и были классифицированы как уязвимости некорректного контроля доступа. Разработчики пишут, что баги были устранены в Helpdesk 3.0.3 и более поздних версиях. Учитывая серьезность этих ошибок, владельцам устройств рекомендуют как можно скорее обновить приложение до новейшей версии.
Отмечу, что эти баги не были связаны с недавними атаками на устройства Qnap, за которыми стоят вымогатели AgeLocker и Ch0raix. Эта малварь эксплуатирует уязвимости в старых версиях приложении Photo Station, а также эксперты китайской ИБ-компании Qihoo 360 пришли к выводу, что хакеры используют старую RCE-уязвимость, которая была исправлена специалистами Qnap еще в июле 2017 года.