QNAP, Hybrid Backup Sync (HBS) proqramını təhlükəli olan altı səmimiyyət narahatçılığını həll etdi. Şirkətin təhlükəsizlik məsləhətində, narahatçılıqların rsync tərəfindən aşkar edildiyini bildirdi, ki, bu açıq mənbəli fayl sinxronlaşdırma alətidir və faylların sistemlər arasında köçürülməsi və sinxronlaşdırılması üçün istifadə olunur. HSS lokal və uzaq əməliyyatları SSH vasitəsilə dəstəkləyir və inkremental yeniliklərlə məlumat köçürməsini minimuma endirir. Çox sayda ehtiyat həlləri Duplicity, Bacula, Rclone və s. İstifadə edir. HBS lokal, uzaq və bulud saxlama xidmətlərini dəstəkləyən məlumat yedəkləməsi və fəlakətə qarşı qorunma həllidir.Möhkəm kod icrası

Səmimiliklər CVE-2024-12084, CVE-2024-12085, CVE-2024-12086, CVE-2024-12087 və CVE-2024-12088 kimi izlənilir və HBS 3 Hybrid Backup Sync 25.1.x-i təsir edir. QNAP deyir ki, onlar, yama olunmamış Şəbəkəyə Qoşulmuş Saxlamaçılı İsti kullanaraq uzaqdan şərti olaraq narahat kodunu işlətmək üçün istifadə oluna bilərdi. Təhlükə faktları yeganə narahat serverlərdə iştirak etmək üçün sadəcə anonim oxumağa ehtiyyac duyacağını iddia edir.

“İlkin iki narahatlık (sıradaşma və məlumat sızıntısı) birləşdirildikdə, bir klientin bir Rsync server işlədən bir qurğuda istənilən kodu icra etməsinə imkan verir,” deyərkən rsync 3.4.0 nəşr edildikdə. “Klient sadəcə, məsələn, ictimai xüsusiyyətlər olan serverlərə, beləliklə, qoşulmuş istifadəçilərin istənilən faylları oxuya bilər, yazı bilər. Adaçı bir serverin nəzarətini götürərək ictimai server və bir serverə qoşulmuş istifadəçilərin istənilən fayllarını oxuya və yazmaga çalışdırmaq mümkündür.”

Sistemlərini qorumaq üçün idarəçilər HBS 3 Hybrid Backup Sync-i 25.1.4.952 versiyasına yeniləmək məcburiyyətində tutulurlar. Via BleepingComputer, hazırda açıq halda olan rsync serverləri ilə birlikdə 700,000-dən çox IP ünvanı var, amma onların neçəsinin istismar edilə biləcəyini müəyyənləşdirmək çətindir.