Разработчики Qnap устранили опасную уязвимость CVE-2021-28809 в составе утилиты Hybrid Backup Sync (HBS), предназначенной для аварийного восстановления и резервного копирования данных.
Проблема была вызвана неправильным ограничением доступа к системным ресурсам, позволяя злоумышленникам повышать привилегии, удаленно выполнять команды или читать конфиденциальную информацию без авторизации.
Qnap сообщает, что проблема уже исправлена в следующих версиях HBS, и рекомендует клиентам обновить приложение как можно скорее:
- QTS 4.3.6: HBS 3 v3.0.210507 и новее;
- QTS 4.3.4: HBS 3 v3.0.210506 и новее;
- QTS 4.3.3: HBS 3 v3.0.210506 и новее.
По словам специалистов, устройства Qnap NAS под управлением QTS 4.5.x с HBS 3 v16.x не подвержены этому багу и не подвержены соответствующим атакам.
Интересно, что Qnap опубликовала бюллетень безопасности, в котором рассказывает о патче для CVE-2021-28809, но в примечаниях к релизу не значатся какие-либо исправления безопасности, последнее из которых датировано 14 мая 2021 года.
Напомню, что в апреле текущего года в составе HBS 3 Hybrid Backup Sync уже была исправлена другая критическая уязвимость. Тогда баг представлял собой жестко закодированные учетные данные, то есть, по сути, бэкдор-аккаунт.
