La începutul lunii, QNAP a lansat update-uri care rezolvă șapte vulnerabilități zero-day folosite recent pentru a compromite dispozitive NAS la concursul Pwn2Own Ireland 2025. Compania a fost atacată pe mai multe fronturi: sistemele de operare QTS și QuTS hero și câteva aplicații importante pentru backup și securitate.
Problemele de securitate la dispozitivele NAS nu sunt o noutate; în ultimii ani am văzut producători importanți testați în competiții precum Pwn2Own, iar aceste demonstrații ajută la întărirea produselor înainte ca exploatările să devină răspândite. De data aceasta, echipele care au demonstrat exploatările au fost Summoning Team, DEVCORE, Team DDOS și chiar un intern de la CyCraft, iar defectele au vizat atât nucleul sistemelor QNAP, cât și aplicații adiționale folosite pentru protecție și sincronizarea datelor.
Vulnerabilitățile identificate au fost desemnate cu diferite coduri CVE: trei afectează QTS și QuTS hero (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849), iar restul sunt în Hyper Data Protector (CVE-2025-59389), Malware Remover (CVE-2025-11837) și HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842). În practică, aceste probleme ar fi putut permite atacatorilor să preia controlul sau să ruleze cod neautorizat pe dispozitive vulnerabile, motiv pentru care corecțiile au venit rapid după demonstrații.
QNAP a publicat versiunile care includ remedierile. Pentru a beneficia de patch-uri, trebuie instalate următoarele versiuni sau unele mai noi: Hyper Data Protector 2.2.4.1, Malware Remover 6.6.8.20251023, HBS 3 Hybrid Backup Sync 26.2.0.938, QTS 5.2.7.3297 build 20251024, QuTS hero h5.2.7.3297 build 20251024 și QuTS hero h5.3.1.3292 build 20251024. De asemenea, QNAP a lansat QuMagie 2.7.0 pentru a corecta o vulnerabilitate SQLi critică (CVE-2025-52425) din soluția sa de gestionare foto.
Actualizarea sistemului de operare se face din interfața de administrare: conectați-vă ca administrator în QTS sau QuTS hero, accesați Control Panel, System, Firmware Update și folosiți Check for Update din Live Update. Pentru aplicații, autentificați-vă tot ca admin, deschideți App Center, căutați aplicația dorită și apăsați Update, apoi confirmați cu OK. Pașii sunt simpli, dar rămâne partea plictisitoare cu schimbatul parolelor, o recomandare pe care QNAP o reiterează: actualizați regulat și modificați parolele pentru a crește securitatea.
Nu este prima dată când Pwn2Own descoperă vulnerabilități în produsele QNAP; anul trecut compania a remediat două zero-day demonstrate la ediția 2024, un bug de tip OS command injection în Hybrid Backup Sync (CVE-2024-50388) și o injecție SQL în serviciul SMB (CVE-2024-50387). Astfel de concursuri funcționează ca teste de stres pentru furnizori, iar rezultatele pot însemna timp câștigat în protejarea datelor utilizatorilor.
Remedierile și instrucțiunile de actualizare sunt practice: dacă folosiți Hyper Data Protector, Malware Remover, HBS 3, QTS sau QuTS hero, verificați versiunile menționate și actualizați imediat. Pe termen lung, strategia rămâne aceeași: mențineți firmware-ul și aplicațiile la zi, folosiți parole puternice și urmăriți anunțurile oficiale pentru patch-uri.
QuMagie 2.7.0 este un exemplu din pachetul de corecții: această versiune închide CVE-2025-52425, o problemă SQLi care ar fi putut permite execuția de cod neautorizat. Deși un update pentru o aplicație de gestionare foto poate părea minor, pentru cineva cu acces la rețea poate fi o ultimă lacună neprotejată. Actualizările QTS/QuTS hero din build-urile 20251024 sunt esențiale pentru administratori; ca detalii concrete, ele pot fi verificate în Control Panel > System > Firmware Update.
Pwn2Own, echipele implicate, codurile CVE și versiunile exacte ale patch-urilor arată cât de minuțioasă trebuie să fie o actualizare de securitate. Exemplele din 2024 și 2025 demonstrează că riscul nu dispare, ci se mută în alte componente până când sunt remediate.
QuMagie 2.7.0 și QTS/QuTS hero build 20251024 sunt acum elemente cheie pe care le puteți verifica imediat în interfața NAS-ului. Ați actualizat deja QTS/QuTS hero și aplicațiile enumerate?
Fii primul care comentează