QNAP закрывает критические уязвимости в прошивках, использованные на конкурсе Pwn2Own

Производитель сетевых систем хранения данных (NAS) QNAP выпустил экстренные обновления безопасности для своих операционных систем QTS и QuTS hero. Эти патчи устраняют несколько критических уязвимостей, включая три, получившие идентификаторы CVE-2025-62847, CVE-2025-62848 и CVE-2025-62849. Все эти уязвимости связаны с одной опасной ошибкой программирования - использованием памяти после освобождения (Use-After-Free, CWE-416). Согласно данным из российского Банка данных угроз безопасности информации (BDU), эти уязвимости получили максимально возможную оценку критичности - 10 баллов по шкалам CVSS 2.0 и 3.1.

Детали уязвимостей

Уязвимости затрагивают широкий спектр устройств QNAP, работающих на операционных системах QTS версий до 5.2.7.3297 и QuTS hero версий до h5.2.7.3297 и h5.3.1.3292. Вредоносный актор, действующий удаленно и не имеющий легитимных привилегий, может воспользоваться этой ошибкой для выполнения произвольного кода на атакуемом устройстве. Более того, успешная эксплуатация позволяет повысить уровень привилегий, что дает злоумышленнику практически полный контроль над системой. Этот тип атаки классифицируется как манипулирование структурами данных.

Особую озабоченность у экспертов вызывает тот факт, что на момент публикации патчей для этих уязвимостей уже существовали работающие эксплойты. Более того, согласно ссылкам, предоставленным BDU, эти уязвимости были успешно продемонстрированы и использованы на престижном международном конкурсе по взлому Pwn2Own, прошедшем осенью 2025 года. Такие события часто служат катализатором для киберпреступных группировок, которые быстро адаптируют доказательства концепции (PoC) для создания реальных угроз. Следовательно, устройства, оставшиеся без обновления, находятся в зоне непосредственного риска.

Атака на сетевые хранилища данных - это серьезный инцидент. Во-первых, эти системы часто содержат конфиденциальную корпоративную или личную информацию. Во-вторых, скомпрометированный NAS может быть использован для развертывания вредоносного ПО, превращения в узел ботнета или как плацдарм для атаки на другие устройства внутри сети. В худшем случае злоумышленники могут установить на устройство программу-шифровальщик, что приведет к блокировке доступа ко всем данным.

К счастью, производитель оперативно отреагировал на обнаруженные проблемы. Статус всех трех уязвимостей в BDU обозначен как «устранена». Единственный надежный способ защиты - немедленное обновление программного обеспечения до исправленных версий. Пользователям QTS следует установить сборку 5.2.7.3297 от 24 октября 2025 года или новее. Владельцам устройств на QuTS hero необходимо обновиться до версий h5.2.7.3297 или h5.3.1.3292, также выпущенных 24 октября 2025 года.

Этот инцидент в очередной раз подчеркивает важность своевременного применения патчей безопасности, особенно для сетевых устройств, часто остающихся без внимания. Многие организации и частные пользователи ошибочно полагают, что NAS, будучи устройством для хранения, менее подвержены атакам извне. Однако высочайший балл CVSS и факт эксплуатации на Pwn2Own доказывают обратное. Регулярное обновление прошивки должно стать таким же обязательным ритуалом, как и установка обновлений для настольной операционной системы.

Эксперты по кибербезопасности также рекомендуют по возможности изолировать сетевые хранилища в отдельные сегменты сети и строго ограничивать доступ к их интерфейсам управления из интернета. Применение таких мер в сочетании с регулярным обновлением значительно снижает поверхность для атаки. В заключение стоит отметить, что оперативная публикация информации об этих уязвимостях в национальных базах данных, таких как BDU, является важным элементом экосистемы безопасности, позволяя российским специалистам своевременно получать проверенные данные и принимать необходимые меры защиты.

Детали уязвимостей

Ссылки