Angreifer können an einer "kritischen" Sicherheitslücke in HBS 3 Hybrid Backup Sync ansetzen und sich auf NAS-Geräten von Qnap Admin-Rechte verschaffen. Nun haben die Entwickler die Schwachstelle geschlossen.
Anzeige
Die Backupsoftware wurde auf dem Hackerwettbewerb Pwn2Own Ireland 2024 von einem Teilnehmer erfolgreich attackiert. Wie der Veranstalter Trend Micro auf X mitteilt, war die Basis des Angriffs ein Command-Injection-Bug (CVE-2024-50388). Das hat dem Teilnehmer ein Preisgeld von 10.000 US-Dollar eingebracht.
Bislang gibt es keine Details, wie so ein Angriff im Detail ablaufen könnte. Wie aus einer Warnmeldung hervorgeht, hat der Hersteller vergleichsweise schnell reagiert und die Lücke geschlossen.
Wer ein Qnap-NAS besitzt, sollte im App Center sicherstellen, dass die gegen die geschilderte Attacke abgesicherte Version HBS 3 Hybrid Backup Sync 25.1.1.673 installiert ist.
(
Kommentare