Qnap lanceert een patch voor Hybrid Backup Sync 3. Die tool is kwetsbaar voor bugs in Rsync waar ook HBS gebruik van maakt.
Qnap lanceert een patch die achterpoortjes geopend door Rsync moet dichten. Rsync is kwetsbaar voor verschillende bugs:
- CVE-2024-12084: heap buffer overflow die een aanvaller kan misbruiken;
- CVE-2024-12086: een bug waarbij een aanvaller aan bestanden kan;
- CVE-2024-12087: een path traversal-bug waarbij een aanvaller malafide bestanden kan wegschrijven naar arbitraire locaties;
- CVE-2024-12088: een andere path traversal-bug gebaseerd op hoe symbolische links behandeld worden;
- CVE-2024-12747: een bug in de behandeling van symbolische links, waarbij het standaard-gedrag van Rsync te omzeilen is waardoor een aanvaller aan gevoelige informatie kan raken.
Hybrid Backup Sync 3 maakt gebruik van Rsync en is als dusdanig kwetsbaar. Qnap lanceert daarom een dringende update voor HBS 3. Updaten kan eenvoudig vanuit het QTS- of QuTS-dashboard. Daar moeten gebruikers naar het App Center navigeren, HBS 3 Hybrid Backup Sync zoeken en zelf op de Update-knop klikken.
Snel updaten
Het is belangrijk om de update snel uit te voeren, aangezien alle kwetsbaarheden samen een krachtige toolbox vormen voor aanvallers. Met de bugs kunnen hackers eigen code uitvoeren en eventueel data stelen van een server. Anonieme lees-toegang volstaat om de aanval uit te voeren. In het ergste geval kan een hacker de controle over een toestel overnemen.
Wereldwijd ziet Shodan meer dan 750.000 servers met Rsync, al is niet duidelijk hoeveel daarvan kwetsbaar zijn. Rsync wordt bovendien veel gebruikt, en niet alleen door Qnap.