CVE-2024-50387:黑客大赛中QNAP严重漏洞被利用,立即修补!

CVE-2024-50387

在最近举行的 Pwn2Own Ireland 2024 黑客大赛的一场惊心动魄的对决中,白帽黑客 YingMuo (@YingMuo) 与 DEVCORE 实习项目合作,成功利用了 QNAP SMB 服务中的一个关键零日漏洞。该漏洞被追踪为 CVE-2024-50387,允许该团队完全控制 QNAP TS-464 NAS 设备。

这次攻击巧妙地结合了参数注入和 SQL 注入技术,为该团队赢得了 20,000 美元奖金和 4 个 Pwn 大师积分。

已确认!与 DEVCORE 实习计划合作的 YingMuo (@YingMuo) 使用参数注入和 SQL 注入在 QNAP TS-464 NAS 上获得了 root shell。他们在第三轮的胜利为他们赢得了 20,000 美元和 4 个 Pwn 大师积分。#Pwn2Own #P2OIreland pic.twitter.com/H4stJflv2M

– 零日计划 (@thezdi) 2024 年 10 月 23 日

以强大的 NAS 解决方案著称的 QNAP 对这一发现做出了迅速反应。尽管在公开披露前有 90 天的宽限期,该公司还是迅速发布了更新来解决该漏洞。我们强烈呼吁 QNAP NAS 设备的用户将其 SMB 服务更新至 4.15.002 或更高版本,以降低被利用的风险。

更新 QNAP NAS 的过程非常简单:

  1. 登录: 以管理员身份访问您的 QTS 或 QuTS 英雄界面。
  2. 打开应用程序中心: 找到并启动应用程序中心。
  3. 搜索 SMB 服务: 使用搜索框查找 “SMB 服务”。
  4. 更新:单击 SMB 服务列表旁边的 “更新 ”按钮。
  5. 确认: 确认更新过程以安装最新版本。

CVE-2024-50387 等未修补漏洞会使系统面临未经授权的访问、数据盗窃和其他网络安全风险。虽然该漏洞已得到负责任的披露和修复,但 NAS 用户仍应保持警惕,经常更新并定期检查系统。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐