Η QNAP διόρθωσε δεύτερη zero-day ευπάθεια που παρουσιάστηκε στο Pwn2Own Ireland

secnews.gr

IT Security News, Gadgets, Tweaks for Geeks and More

Η QNAP διόρθωσε δεύτερη zero-day ευπάθεια που παρουσιάστηκε στο Pwn2Own Ireland
https://www.secnews.gr/627440/qnap-diorthose-zero-day-eupahteia-parousiastike-pwn2own-ireland/
Oct 31st 2024, 10:37

Η QNAP διόρθωσε και τη δεύτερη zero-day ευπάθεια, που χρησιμοποίησαν ερευνητές ασφαλείας κατά τη διάρκεια του διαγωνισμού Pwn2Own Ireland 2024.






Πρόκειται για μια κρίσιμη ευπάθεια SQL injection (SQLi), η οποία παρακολουθείται ως CVE-2024-50387. Εντοπίστηκε στο SMB Service της QNAP. Οι διαχειριστές πρέπει να εφαρμόσουν την έκδοση 4.15.002 ή νεότερη και την h4.15.002 η νεότερη για να προστατευτούν.



Η ευπάθεια χρησιμοποιήθηκε την προηγούμενη εβδομάδα, κατά τη διάρκεια του διαγωνισμού Pwn2Own Ireland, από τον YingMuo (που συνεργάζεται με το DEVCORE Internship Program). Η ευπάθεια του επέτρεψε να αποκτήσει root shell και να αναλάβει τον έλεγχο μιας συσκευής QNAP TS-464 NAS.



Δείτε επίσης: Βρέθηκαν ευπάθειες σε open-source AI και ML μοντέλα



Η ομάδα Viettel κέρδισε το Pwn2Own Ireland 2024, ο οποίος ολοκληρώθηκε την Παρασκευή 25 Οκτωβρίου. Περισσότερα από 1 εκατομμύριο δολάρια σε έπαθλα απονεμήθηκαν σε ερευνητές που αποκάλυψαν πάνω από 70 μοναδικά zero-day σφάλματα. Τέτοιοι διαγωνισμοί δίνουν την ευκαιρία στους ίδιους τους hackers να μαθαίνουν και να εμπνέονται από τις τεχνικές και τις στρατηγικές που χρησιμοποιούν άλλοι συνάδελφοί τους.



Η εκδήλωση Pwn2Own ενισχύει την κοινότητα των ethical hackers, προσφέροντας μια πλατφόρμα για διάλογο, ανταλλαγή ιδεών και συνεργασία.



Δείτε επίσης: Η Apple διορθώνει περισσότερες από 70 ευπάθειες σε iOS και macOS






Την Τρίτη, η QNAP διόρθωσε άλλη μια zero-day ευπάθεια στο HBS 3 Hybrid Backup Sync. Το σφάλμα χρησιμοποιήθηκε από ερευνητές της Viettel Cyber ​​Security στο Pwn2Own και τους επέτρεψε να εκτελέσουν αυθαίρετες εντολές και να χακάρουν μια συσκευή TS-464 NAS.



Η QNAP διόρθωσε και τις δύο ευπάθειες μέσα σε μια εβδομάδα, αλλά γενικά οι προμηθευτές έχουν περιθώριο 90 ημέρες έως ότου το Zero Day Initiative της Trend Micro δημοσιεύσει λεπτομέρειες σχετικά με σφάλματα που αποκαλύφθηκαν κατά τη διάρκεια του διαγωνισμού.



Για να ενημερώσετε το λογισμικό στη συσκευή σας NAS, συνδεθείτε στο QuTS hero ή στο QTS ως διαχειριστής, μεταβείτε στο App Center, αναζητήστε "SMB Service" και κάντε κλικ στο "Update". Εάν δεν υπάρχει αυτό το κουμπί, το λογισμικό είναι ήδη ενημερωμένο.



Δείτε επίσης: Κρίσιμες ευπάθειες σε προϊόντα Siemens και Schneider Electric



Η άμεση ενημέρωση είναι απαραίτητη, καθώς οι συσκευές QNAP είναι δημοφιλείς στόχοι για εγκληματίες στον κυβερνοχώρο (κυρίως λόγω αποθήκευσης ευαίσθητων προσωπικών αρχείων).



Πηγή: www.bleepingcomputer.com



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια