威联通科技修复了其 HBS 3 混合备份同步软件中的一个严重零日漏洞,此前该漏洞被安全研究人员在 Pwn2Own Ireland 2024 比赛中利用。该漏洞编号为 CVE-2024-50388,源于该软件 25.1.x 版本中的操作系统命令注入弱点,可能允许远程攻击者执行任意命令。该公司已在 HBS 3 版本 25.1.1.673 及后续版本中修补了此漏洞,并建议用户通过 App Center 更新其系统。来源
Viettel Cyber Security 的 Ha The Long 和 Ha Anh Hoang 演示了该漏洞,他们在比赛中成功获得了 TS-464 NAS 设备的管理权限。尽管通常情况下在此类比赛后有 90 天的时间发布安全更新,QNAP 在 5 天内迅速修复了该问题。来源
Pwn2Own 活动结束时,Viettel 团队获得了第一名,并因发现超过 70 个零日漏洞而获得了超过 100 万美元的奖金。QNAP 之前也曾解决过重大安全问题,包括三年前在其备份软件中删除了一个后门账户。来源