ГлавнаяБаза уязвимостей БДУ → BDU:2024-08774
10критическая

BDU:2024-08774 (CVE-2024-50389)

Уязвимость программного средства для резервного копирования и аварийного восстановления HBS 3 Hybrid Backup Sync. сетевых устройств QNAP, позволяющая нарушителю выполнять произвольные команды
Опубликовано: 2024-10-30
Описание

Уязвимость программного средства для резервного копирования и аварийного восстановления HBS 3 Hybrid Backup Sync. сетевых устройств QNAP связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды

Затрагиваемое ПО и версии
HBS 3 (Hybrid Backup Sync) (до 25.1.1.673)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование «белых» списков IP-адресов для организации удалённого доступа к устройствам QNAP;
- ограничение доступа к устройствам QNAP из внешних сетей (Интернет);
- управление сетевыми соединениями и разграничение доступа к устройствам QNAP в локальной сети;
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к устройствам QNAP;
- использование систем обнаружения и предотвращения вторжений с целью выявления и реагирования на попытки эксплуатации уязвимости.

Использование рекомендаций:
https://www.qnap.com/en-us/security-advisory/qsa-24-41

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.qnap.com/en-us/security-advisory/qsa-24-41https://securityonline.info/qnap-patches-zero-day-flaw-cve-2024-50389-in-qurouter-following-pwn2own-ireland-2024-exploits/
Проверьте безопасность своего сайта и почты → Полная проверка домена