Разработчики Qnap устранили опасную уязвимость CVE-2021-28809  в составе утилиты Hybrid Backup Sync (HBS), предназначенной для аварийного восстановления и резервного копирования данных.

Проблема была вызвана неправильным ограничением доступа к системным ресурсам, позволяя злоумышленникам повышать привилегии, удаленно выполнять команды или читать конфиденциальную информацию без авторизации.

Qnap сообщает, что проблема  уже исправлена в следующих версиях HBS, и рекомендует клиентам обновить приложение как можно скорее:

  • QTS 4.3.6: HBS 3 v3.0.210507 и новее;
  • QTS 4.3.4: HBS 3 v3.0.210506 и новее;
  • QTS 4.3.3: HBS 3 v3.0.210506 и новее.

По словам специалистов, устройства Qnap NAS под управлением QTS 4.5.x с HBS 3 v16.x не подвержены этому багу и не подвержены соответствующим атакам.

Интересно, что Qnap опубликовала бюллетень безопасности, в котором рассказывает о патче для CVE-2021-28809, но в примечаниях к релизу не значатся какие-либо исправления безопасности, последнее из которых датировано 14 мая 2021 года.

Напомню, что в апреле текущего года в составе HBS 3 Hybrid Backup Sync уже была исправлена другая критическая уязвимость. Тогда баг представлял собой жестко закодированные учетные данные, то есть, по сути, бэкдор-аккаунт.

Оставить мнение