В Банке данных угроз безопасности информации (BDU) были зарегистрированы две критические уязвимости в корпоративном решении для синхронизации файлов Qsync Central от компании QNAP Systems, Inc. Обе уязвимости, получившие идентификаторы BDU:2025-16026 и BDU:2025-16023, связаны с классической, но по-прежнему опасной проблемой - внедрением SQL-кода (SQL Injection, CWE-89). По оценке CVSS, степень опасности этих уязвимость оценивается как высокая, что делает их приоритетными для устранения в корпоративных сетях.
Детали уязвиомстей
Уязвимости затрагивают версию программного обеспечения 5.0.0. Они возникают из-за непринятия мер по защите структуры SQL-запроса. Проще говоря, приложение некорректно обрабатывает ввод пользователя, позволяя злоумышленнику встраивать произвольные команды в запросы к базе данных. В результате атакующий, действующий удаленно и имеющий учетную запись пользователя (PR:L), может выполнить произвольный код на сервере. Это, в свою очередь, открывает путь к полной компрометации системы, хищению или шифрованию данных и обеспечению устойчивости (persistence) в сети жертвы.
Оценки по всем актуальным версиям Common Vulnerability Scoring System (CVSS, система оценки критичности уязвимостей) подтверждают серьезность угрозы. Базовая оценка CVSS 2.0 достигает максимального значения 9.0, что указывает на критический уровень. Более современные метрики CVSS 3.1 и 4.0, хотя и используют обновленную методологию, также присваивают высокие баллы - 8.8 и 8.6 соответственно. Вектор атаки (AV:N) предполагает эксплуатацию через сеть без необходимости физического доступа или сложных подготовительных действий (AC:L). Учитывая, что для атаки требуется лишь низкие привилегии учетной записи, угроза становится особенно актуальной для организаций.
Производитель, компания QNAP, уже подтвердил наличие уязвимостей и выпустил официальное исправление. Информация об устранении опубликована в бюллетене безопасности QSA-25-35. Пользователям Qsync Central настоятельно рекомендуется немедленно обновить программное обеспечение до патченной версии, следуя инструкциям на сайте вендора. Поскольку способ эксплуатации классифицируется как инъекция, а наличие работающего эксплойта (exploit) пока уточняется, окно для превентивных действий остается открытым, но его нельзя считать бесконечным.
Стоит отметить, что каждой уязвимости в BDU был присвоен уникальный идентификатор Common Vulnerabilities and Exposures (CVE, система каталогизации уязвимостей): CVE-2025-53595 для BDU:2025-16026 и CVE-2025-54153 для BDU:2025-16023. Это стандартная практика, которая позволяет однозначно идентифицировать проблему в международных базах данных и системах безопасности, таких как MITRE ATT&CK или коммерческие решения класса IDS/IPS (системы обнаружения и предотвращения вторжений).
Обнаружение двух критических уязвимостей в одном корпоративном продукте в один день поднимает вопросы о процессах безопасной разработки (Secure SDLC). Внедрение SQL остается одной из самых распространенных и разрушительных уязвимостей, десятилетиями присутствуя в топах списков, таких как OWASP Top 10. Её наличие в программном обеспечении для централизованного управления файлами, которое имеет доступ к обширным массивам корпоративных данных, особенно тревожно.
Для специалистов по информационной безопасности этот инцидент служит напоминанием о важности своевременного обновления не только операционных систем, но и всего спектра бизнес-приложений. Qsync Central часто используется как часть инфраструктуры хранения и совместной работы. Следовательно, его компрометация может стать началом масштабного инцидента, включая утечку данных или атаку программ-вымогателей (ransomware). Регулярный аудит и сканирование на уязвимости должны включать подобные нишевые, но критически важные сервисы.
Таким образом, хотя производитель оперативно отреагировал и предоставил патч, основная ответственность теперь лежит на администраторах и ИТ-отделах компаний-пользователей. Игнорирование данного обновления создает неоправданно высокий риск для безопасности всей корпоративной сети. Рекомендуется не только установить исправление, но и проверить логи приложения на предмет потенциально аномальной активности, которая могла бы свидетельствовать о попытках эксплуатации до момента установки патча. Постоянная бдительность и дисциплина в области управления обновлениями остаются ключевыми элементами защиты от подобных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2025-16023
- https://bdu.fstec.ru/vul/2025-16026
- https://www.cve.org/CVERecord?id=CVE-2025-54153
- https://www.cve.org/CVERecord?id=CVE-2025-53595
- https://www.qnap.com/en/security-advisory/qsa-25-35
