Konkurs Pwn2Own: Odkryto poważne luki w urządzeniach NAS
W ostatnim tygodniu podczas konkursu Pwn2Own zespół ekspertów ds. bezpieczeństwa odkrył poważne luki w oprogramowaniu NAS firm QNAP i Synology. W odpowiedzi na te zagrożenia obie firmy szybko wypuściły łatki, które mają zniwelować ryzyko. W przypadku Synology problem dotyczył kilku wersji aplikacji BeePhotos dla BeeStation oraz Synology Photos dla systemu DSM. Bez odpowiednich aktualizacji urządzenia te mogą być narażone na ataki, umożliwiające zdalne wykonanie dowolnego kodu z uprawnieniami roota na niechronionych urządzeniach NAS wystawionych na dostęp z internetu.
W przypadku urządzeń QNAP wykryta luka to podatność na SQL Injection. W szczególności dotyczy ona modeli NAS TS-464 oraz Hybrydowej Synchronizacji Kopii Zapasowych HBS 3, która pełni funkcję rozwiązania do odzyskiwania danych i tworzenia kopii zapasowych. Tego typu błąd może również prowadzić do poważnych problemów, w tym do pełnej kompromitacji urządzenia przez atakujących.
Co zrobić, aby zabezpieczyć swoje urządzenia?
W obu przypadkach, zarówno użytkownicy Synology, jak i QNAP, muszą ręcznie zaktualizować swoje oprogramowanie. Warto zwrócić uwagę, że obie firmy nie zdecydowały się na automatyczne wypchnięcie aktualizacji. To dość powszechna praktyka wśród producentów urządzeń NAS, ponieważ te urządzenia muszą działać bez przerw, a nieoczekiwane restarty lub aktualizacje mogą wpłynąć na ich dostępność. Dlatego tak ważne jest samodzielne sprawdzenie, czy są dostępne nowe aktualizacje, a następnie zaplanowanie ich instalacji w dogodnym momencie.
Jeśli nie jesteś pewien, jak przeprowadzić aktualizację, możesz skorzystać z poradników dostępnych na stronach producentów lub odwiedzić źródła, takie jak Bleeping Computer, które oferują szczegółowe instrukcje na ten temat. Nie warto odkładać tego na później, ponieważ urządzenia NAS często przechowują bardzo wrażliwe dane, a niezabezpieczenie ich może wiązać się z poważnymi konsekwencjami.
Dlaczego aktualizacje są tak ważne?
Systemy NAS są często wykorzystywane do przechowywania danych krytycznych dla funkcjonowania firm oraz prywatnych użytkowników. W związku z tym, nawet niewielka luka w zabezpieczeniach może prowadzić do poważnych strat, w tym utraty danych, naruszeń prywatności, a nawet potencjalnych ataków ransomware. Podatności odkryte w konkursie Pwn2Own przypominają nam, jak ważne jest dbanie o regularne aktualizacje oprogramowania oraz monitorowanie bezpieczeństwa systemów.
Jeśli korzystasz z urządzeń NAS, takich jak Synology czy QNAP, upewnij się, że twoje systemy są zawsze zaktualizowane do najnowszej wersji i odpowiednio zabezpieczone. Pamiętaj również, aby regularnie tworzyć kopie zapasowe i przechowywać je w bezpiecznym miejscu, najlepiej poza siecią, aby zminimalizować ryzyko utraty danych w przypadku ataku.