Производитель сетевых систем хранения данных QNAP выпустил масштабные обновления безопасности, устраняющие серию критических уязвимостей, часть из которых была успешно эксплуатирована на международном хакерском соревновании Pwn2Own Ireland 2025 в октябре. Эти уязвимости затрагивают ключевые компоненты экосистемы QNAP NAS, широко используемой в корпоративных средах для централизованного хранения данных, резервного копирования и восстановления.
Детали уязвимостей
Основные затронутые компоненты включают три проприетарные операционные системы: QTS 5.2.x, QuTS hero h5.2.x и QuTS hero h5.3.x. В них обнаружены уязвимости CVE-2025-62847, CVE-2025-62848 и CVE-2025-62849, связанные с проблемами проверки входных данных и повреждения памяти в обработчиках Common Gateway Interface (CGI). Эти обработчики управляют веб-интерфейсами администрирования и сервисами, часто работая с повышенными привилегиями. Следовательно, злоумышленники могут выполнять произвольный код, повышать привилегии или вызывать сбои в работе служб.
Система Hybrid Backup Sync (HBS) версий 26.1.x и ранее, представляющая решение для резервного копирования и аварийного восстановления, содержит две критические уязвимости CVE-2025-62840 и CVE-2025-62842. Они позволяют получать несанкционированный доступ к удаленным целям резервного копирования, включая другие устройства NAS, серверы или облачные сервисы. При успешной эксплуатации злоумышленники могут получать доступ к конфиденциальным данным за пределами устройства или перемещаться по сети, в зависимости от конфигурации и защиты этих систем.
Встроенная утилита Malware Remover 6.6.x, предназначенная для обнаружения и удаления вредоносного ПО, содержала уязвимость инъекции кода CVE-2025-11837. Эта проблема позволяла выполнять злонамеренные команды под видом доверенного процесса безопасности. Уязвимость устранена в версии 6.6.8.20251023.
Агентское решение для резервного копирования Hyper Data Protector 2.2.x для сред VMware и Hyper-V было затронуто критической уязвимостью CVE-2025-59389, объединяющей жестко заданные учетные данные и дефект инъекции. Проблема позволяла осуществлять несанкционированный доступ и манипулирование конфигурациями резервного копирования или данными. Уязвимость исправлена в версии 2.2.4.1.
Хотя официальные оценки CVSS пока не опубликованы, демонстрация эксплуатации этих уязвимостей на живых системах указывает на реальный риск будущих атак. В случае отсутствия исправлений злоумышленники могут получить возможность удаленного выполнения кода, несанкционированного доступа и полного компрометации системы.
Компания QNAP настоятельно рекомендует обновить все затронутые компоненты до последних версий. После установки обновлений безопасности следует изменить все пароли. При невозможности немедленного обновления следует изолировать интерфейсы NAS от публичных сетей и усилить контроль аутентификации.
Эксперты по кибербезопасности отмечают, что своевременное обновление прошивок и компонентов NAS остается ключевым методом защиты против известных уязвимостей. Кроме того, рекомендуется регулярный мониторинг журналов событий и использование принципа минимальных привилегий при настройке доступа к сетевым хранилищам. Особое внимание следует уделять системам, подвергавшимся эксплуатации на Pwn2Own, поскольку информация об этих уязвимостях может привлечь внимание киберпреступников.
Сетевые хранилища данных часто содержат критически важную информацию, поэтому их защита требует комплексного подхода. Помимо установки обновлений, организациям следует рассмотреть возможность реализации сегментации сети, многофакторной аутентификации и регулярного аудита безопасности. Эти меры особенно важны для устройств, предоставляющих услуги резервного копирования и восстановления, поскольку их компрометация может привести к масштабным утечкам данных.
Исторически уязвимости в системах QNAP неоднократно эксплуатировались в реальных атаках, включая ransomware-атаки (вымогатели) и несанкционированный доступ к конфиденциальной информации. Следовательно, своевременное применение исправлений становится не просто рекомендацией, а необходимостью для обеспечения безопасности корпоративных данных. Регулярный мониторинг источников информации об уязвимостях и быстрое реагирование на угрозы позволяют организациям значительно снизить риски кибератак.
