QNAP hat nun sechs Schwachstellen in seinem Hybrid Backup Sync Tool behoben. Die Schwachstellen stammen aus rsync, einem Open-Source-Dateisynchronisierungstool. Benutzer werden dringend darauf hingewiesen, ihr HBS sofort zu aktualisieren.

QNAP hat kürzlich ein halbes Dutzend Sicherheitslücken in seiner Hybrid Backup Sync (HBS)-Software behoben. In einer Sicherheitswarnung wies das Unternehmen darauf hin, dass die Schwachstellen in rsync entdeckt wurden, einem Open-Source-Dateisynchronisierungstool, das zum Übertragen und Synchronisieren von Dateien zwischen Systemen verwendet wird. Es bietet Unterstützung für lokale und entfernte Operationen über SSH und minimiert den Datentransfer mit inkrementellen Updates. Viele Backup-Lösungen verwenden rsync, darunter Duplicity, Bacula, Rclone und andere. HBS ist eine Daten-Backup- und Disaster-Recovery-Lösung, die lokale, entfernte und Cloud-Speicherdienste unterstützt.

Willkürliche Codeausführung
Die Schwachstellen sind als CVE-2024-12084, CVE-2024-12085, CVE-2024-12086, CVE-2024-12087 und CVE-2024-12088 registriert und betreffen HBS 3 Hybrid Backup Sync 25.1.x. QNAP gab an, dass sie verwendet werden könnten, um bösartigen Code remote gegen ungepatchte Network Attached Storage (NAS)-Endpunkte auszuführen. Anscheinend bräuchten Angreifer nur anonymen Lesezugriff auf verwundbare Server, um die Schwachstellen auszunutzen. Um ihre Systeme abzusichern, wird Administratoren empfohlen, ihr HBS 3 Hybrid Backup Sync auf Version 25.1.4.952 zu aktualisieren, indem sie sich als Administrator in QTS oder QuTS Hero einloggen, App Center öffnen, nach HBS 3 Hybrid Backup Sync suchen und auf die Schaltfläche „Aktualisieren“ klicken. Laut Bleeping Computer gibt es derzeit mehr als 700.000 IP-Adressen mit freigelegten rsync-Servern, aber es ist schwierig zu bestimmen, wie viele ausgenutzt werden können.