QNAP修复了一个关键的零日漏洞CVE-2024-50388。该漏洞在最近的Pwn2Own Ireland 2024黑客大赛中被白帽黑客利用,攻击目标是TS-464 NAS设备。此漏洞是HBS 3 Hybrid Backup Sync中的操作系统命令注入漏洞,远程攻击者可以利用它在易受攻击的设备上执行任意代码命令。该漏洞影响版本25.1.x,已在HBS 3 Hybrid Backup Sync 25.1.1.673及更高版本中得到修复。
“据报告,一个操作系统命令注入漏洞影响HBS 3 Hybrid Backup Sync。如果被利用,该漏洞可能允许远程攻击者执行任意命令。”台湾厂商发布的安全公告中写道。
在Pwn2Own Ireland 2024大赛的第三天,Viettel Cyber Security的Ha The Long和Ha Anh Hoang (@vcslab)利用单个命令注入漏洞成功攻击了QNAP TS-464 NAS。他们的第四轮胜利为他们赢得了1万美元和4个Master of Pwn积分。尽管厂商有90天的时间才能让趋势科技的零日倡议(Zero Day Initiative)公开披露比赛中展示的漏洞利用细节,但QNAP 迅速解决了这个问题。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...