QNAP устранила уязвимости в Hybrid Backup Sync
- Компания QNAP сообщила, что устранила шесть уязвимостей в своем инструменте Hybrid Backup Sync (HBS).
- Эти уязвимости были связаны с rsync, программным обеспечением с открытым исходным кодом для синхронизации файлов.
- Пользователям рекомендуется обновить HBS в ближайшее время.
QNAP исправила несколько уязвимостей, влияющих на программное обеспечение Hybrid Backup Sync (HBS). В своем отчете о безопасности компания указала, что эти уязвимости были обнаружены в rsync — инструменте для синхронизации и передачи файлов между системами. Rsync поддерживает локальную и удаленную работу через SSH и минимизирует объем передаваемых данных с помощью инкрементных обновлений. Многие решения для резервного копирования используют rsync, среди которых Duplicity, Bacula, Rclone и другие.
HBS представляет собой решение для резервного копирования данных и восстановления после сбоев, поддерживающее локальные, удаленные и облачные хранилища.
Возможность выполнения произвольного кода
Ошибки зарегистрированы под кодами CVE-2024-12084, CVE-2024-12085, CVE-2024-12086, CVE-2024-12087 и CVE-2024-12088 и затрагивают версию HBS 3 Hybrid Backup Sync 25.1.x. Компания QNAP отметила, что эти уязвимости могли быть использованы для запуска вредоносного кода удаленно на неподдерживаемых устройствах сетевого хранилища (NAS). Злоумышленникам достаточно было иметь доступ только с правами на чтение, чтобы использовать эти уязвимости.
«В комбинации, первые две уязвимости (переполнение буфера кучи и утечка информации) позволяют клиенту выполнить произвольный код на устройстве, на котором запущен сервер Rsync,» говорит CERT/CC. «Клиенту требуется только анонимный доступ для чтения данных с сервера, таким как публичные зеркала. Кроме того, злоумышленники могут взять под контроль вредоносный сервер и читать/записывать произвольные файлы любого подключенного клиента.»
Чтобы обезопасить свои системы, администраторам рекомендуется обновить Hybrid Backup Sync 3 до версии 25.1.4.952. Для этого необходимо войти в QTS или QuTS hero под учетной записью администратора, открыть Центр приложений, найти Hybrid Backup Sync 3 и нажать на кнопку «Обновить».
По данным BleepingComputer, в настоящее время существует более 700,000 IP-адресов с открытыми серверами rsync, однако точно определить, сколько из них может быть уязвимо, достаточно сложно.
Источник: TechRadar
