Следующая новость
Предыдущая новость

Разработчики Qnap исправили баг, приводивший к захвату контроля над устройством

08.10.2020 20:32
Разработчики Qnap исправили баг, приводивший к захвату контроля над устройством

Рекомендуем почитать:

Xakep #257. Pivoting

  • Содержание выпуска
  • Подписка на «Хакер»

Инженеры компании Qnap устранили две критические уязвимости в приложении Helpdesk, которые позволяли злоумышленникам захватить полный контроль над уязвимыми NAS.

Helpdesk — это предустановленное приложение, которое поставляется с устройствами Qnap и позволяет администраторам отправлять запросы о помощи в службу поддержки компании. В Helpdesk есть и функция удаленной поддержки, которая позволяет саппорту подключаться к устройству с разрешения владельца. именно с ней и были связаны исправленные проблемы.

Уязвимости получили идентификаторы CVE-2020-2506 и CVE-2020-2507, и были классифицированы как уязвимости некорректного контроля доступа. Разработчики пишут, что баги были устранены в Helpdesk 3.0.3 и более поздних версиях. Учитывая серьезность этих ошибок, владельцам устройств рекомендуют как можно скорее обновить приложение до новейшей версии.

Отмечу, что эти баги не были связаны с недавними атаками на устройства Qnap, за которыми стоят вымогатели AgeLocker и Ch0raix. Эта малварь эксплуатирует уязвимости в старых версиях приложении Photo Station, а также эксперты китайской ИБ-компании Qihoo 360 пришли к выводу, что хакеры используют старую RCE-уязвимость, которая была исправлена специалистами Qnap еще в июле 2017 года.

Источник

Последние новости