CVE-2024-50387:黑客大赛中QNAP严重漏洞被利用,立即修补!

阅读量39473

发布时间 : 2024-10-31 11:19:49

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cve-2024-50387-critical-qnap-flaw-exploited-in-hacking-contest-patch-now/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-50387

在最近举行的 Pwn2Own Ireland 2024 黑客大赛的一场惊心动魄的对决中,白帽黑客 YingMuo (@YingMuo) 与 DEVCORE 实习项目合作,成功利用了 QNAP SMB 服务中的一个关键零日漏洞。该漏洞被追踪为 CVE-2024-50387,允许该团队完全控制 QNAP TS-464 NAS 设备。

这次攻击巧妙地结合了参数注入和 SQL 注入技术,为该团队赢得了 20,000 美元奖金和 4 个 Pwn 大师积分。

已确认!与 DEVCORE 实习计划合作的 YingMuo (@YingMuo) 使用参数注入和 SQL 注入在 QNAP TS-464 NAS 上获得了 root shell。他们在第三轮的胜利为他们赢得了 20,000 美元和 4 个 Pwn 大师积分。#Pwn2Own #P2OIreland pic.twitter.com/H4stJflv2M

– 零日计划 (@thezdi) 2024 年 10 月 23 日

以强大的 NAS 解决方案著称的 QNAP 对这一发现做出了迅速反应。尽管在公开披露前有 90 天的宽限期,该公司还是迅速发布了更新来解决该漏洞。我们强烈呼吁 QNAP NAS 设备的用户将其 SMB 服务更新至 4.15.002 或更高版本,以降低被利用的风险。

更新 QNAP NAS 的过程非常简单:

  1. 登录: 以管理员身份访问您的 QTS 或 QuTS 英雄界面。
  2. 打开应用程序中心: 找到并启动应用程序中心。
  3. 搜索 SMB 服务: 使用搜索框查找 “SMB 服务”。
  4. 更新:单击 SMB 服务列表旁边的 “更新 ”按钮。
  5. 确认: 确认更新过程以安装最新版本。

CVE-2024-50387 等未修补漏洞会使系统面临未经授权的访问、数据盗窃和其他网络安全风险。虽然该漏洞已得到负责任的披露和修复,但 NAS 用户仍应保持警惕,经常更新并定期检查系统。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66