CVE-2021-28799

QNAP Network Attached Storage (NAS)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-31

Официальное описание

QNAP NAS running HBS 3 contains an improper authorization vulnerability which can allow remote attackers to log in to a device.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-28799) в пакете HBS 3 (Hybrid Backup Sync) на устройствах QNAP NAS позволяет удаленному злоумышленнику обойти механизмы авторизации. Это происходит из-за неправильной проверки прав доступа к определенному API-эндпоинту службы. В результате атакующий может выполнить запрос, который позволит ему войти в систему без корректных учетных данных, получив несанкционированный доступ к устройству.

Как исправить

Установите обновленную версию пакета HBS 3, в которой уязвимость устранена.

  1. Войдите в веб-интерфейс администратора QTS или QuTS hero.
  2. Перейдите в App Center.
  3. Найдите приложение Hybrid Backup Sync (HBS 3).
  4. Нажмите кнопку Обновить или проверьте наличие обновлений.
  5. Установите одну из исправленных версий:
    • HBS 3 версии 16.0.0415 или новее (для QTS 4.5.x).
    • HBS 3 версии 3.0.210412 или новее (для более старых систем).
  6. После обновления перезагрузите ваше устройство NAS.

Альтернативно, через командную строку (SSH):

# Получите root-права
sudo -i

# Обновите все пакеты, включая HBS 3
opkg update
opkg upgrade

Временное решение

Если немедленное обновление невозможно, выполните следующие действия для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу и службам NAS:

    • В настройках брандмауэра QNAP заблокируйте все внешние (WAN) подключения к портам веб-интерфейса (по умолчанию 8080, 443) и служб (например, 8081 для HBS) кроме как с доверенных IP-адресов или VPN.
    • Настройки -> Безопасность -> Брандмауэр.

  2. Отключите службу HBS 3 (если она не критична):

    • В App Center найдите HBS 3 и нажмите Остановить.
    • Или через командную строку: bash /etc/init.d/hbs3.sh stop

  3. Используйте VPN для доступа:

    • Полностью отключите прямой доступ к интерфейсу администратора NAS из интернета. Настройте и используйте VPN (например, QVPN) для безопасного удаленного доступа к локальной сети, где находится NAS.

  4. Проверьте журналы на предмет подозрительной активности:

    • В Журнал системы обратите внимание на многочисленные неудачные или необычные попытки входа, особенно к службам, связанным с HBS.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей