Семь "нулей" — одно исправление. QNAP спешно закрывает «трофеи» с произвольным кодом

Тайваньская компания QNAP выпустила обновления для своих систем, устраняющие 7 уязвимостей нулевого дня (zero day), продемонстрированных участниками конкурса Pwn2Own Ireland 2025. Проблемы затрагивали фирменные операционные системы QTS и QuTS hero, а также несколько сервисов компании — Hyper Data Protector, Malware Remover и HBS 3 Hybrid Backup Sync. Все уязвимости были обнаружены во время демонстраций на мероприятии специалистами команд Summoning Team, DEVCORE, Team DDOS и стажёром компании CyCraft Technology.

Согласно опубликованному уведомлению, исправлены уязвимости в операционных системах QTS и QuTS hero, в модуле Malware Remover, в приложении Hyper Data Protector, а также в утилите HBS 3 Hybrid Backup Sync. Подробности о механизмах эксплуатации пока не раскрываются, однако все были признаны критическими и позволяли выполнять произвольный код на устройствах. Для защиты своих систем компания рекомендует как можно скорее установить свежие версии ПО, содержащие исправления.

Компания напомнила пользователям о необходимости регулярно обновлять прошивку NAS-устройств, чтобы получать актуальные исправления безопасности. QNAP также отметила, что этот инцидент стал продолжением инициативы по устранению уязвимостей, выявленных на предыдущих конкурсах Pwn2Own. В октябре 2024 года компания уже закрывала уязвимости, которые также были продемонстрированы исследователями в рамках соревнования Pwn2Own Ireland 2024.

QNAP, регулярно участвующая в подобных мероприятиях, рассматривает их как способ повысить защищённость своей экосистемы NAS-продуктов, предоставляя исследователям возможность безопасно протестировать механизмы защиты и публично продемонстрировать найденные слабые места.