Apar informații importante pentru utilizatorii QNAP: o vulnerabilitate critică în ASP.NET Core afectează utilitarul NetBak PC Agent, folosit pentru backup către dispozitivele NAS QNAP. Istoria problemelor de securitate în serverele web și în componentele Microsoft nu e surprinzătoare; de la primele breșe din IIS până la incidentele recente din ecosistemul .NET, astfel de vulnerabilități au demonstrat cât de rapid o componentă omniprezentă poate deveni o cale de atac, iar situația actuală impune atenție imediată.
Cazul este urmărit ca CVE-2025-55315 și se referă la serverul web Kestrel din ASP.NET Core. Vulnerabilitatea permite ocolirea mecanismelor de protecție prin tehnici de HTTP request smuggling, adică un atacator cu privilegii reduse ar putea compromite credențiale ale altor utilizatori sau să eludeze controale front-end. QNAP avertizează că NetBak PC Agent instalează componente Microsoft ASP.NET Core în timpul configurării, astfel încât, dacă sistemul nu a fost actualizat, utilitarul poate include versiuni afectate ale ASP.NET Core.
Compania recomandă cu tărie ca utilizatorii să verifice că Windows are ultimele actualizări ASP.NET Core instalate. Ca măsură practică, există două opțiuni: reinstalarea aplicației NetBak PC Agent, care va instala runtime-urile ASP.NET Core actualizate, sau actualizarea manuală a ASP.NET Core pe PC prin descărcarea și instalarea celui mai recent ASP.NET Core Runtime (Hosting Bundle) de pe pagina .NET 8.0. E o intervenție simplă, dar eficientă pentru a închide o potențială cale de acces neautorizat.
Barry Dorrans, manager tehnic pe securitate în programul .NET, a explicat că efectele exploatării depind de aplicația ASP.NET vizată. În funcție de context, un atac reușit ar putea permite autentificarea ca alt utilizator pentru escaladare de privilegii, ocolirea verificărilor CSRF sau efectuarea unor atacuri de tip injection. QNAP menționează că exploatarea poate conduce la acces neautorizat la date sensibile, modificarea fișierelor de pe server sau condiții de tip denial-of-service, deși unele dintre aceste efecte pot fi limitate de configurația specifică a serverului.
Această alertă se suprapune unui istoric recent: în ianuarie, QNAP a lansat actualizări pentru a remedia mai multe vulnerabilități rsync din HBS 3 Hybrid Backup Sync 25.1.x, probleme care ar fi permis execuția de cod malițios pe dispozitive NAS neprotejate. Toate acestea subliniază că, dincolo de funcționalitate, actualizările de securitate rămân cruciale pentru protejarea infrastructurii de backup.
Dacă ai un NAS QNAP și folosești NetBak PC Agent, verifică versiunea ASP.NET Core de pe PC și aplică imediat update-urile recomandate sau reinstalează agentul. Semelele de securitate reamintesc că stocarea și transferul de date nu sunt doar chestiuni de spațiu sau viteză, ci și de menținere regulată a componentelor software. Exemplul concret: CVE-2025-55315 afectează Kestrel și poate fi remediat prin .NET 8.0 Hosting Bundle, iar QNAP a comunicat direct necesitatea actualizării NetBak PC Agent.
Cât de des verifici compatibilitatea și actualizările pentru aplicațiile de backup?
Fii primul care comentează