Тревожное открытие: TrueNAS оказался лёгкой добычей для хакеров

Тревожное открытие: TrueNAS оказался лёгкой добычей для хакеров

Невидимые угрозы стали явными и показали своё истинное лицо.

image

На прошедшем в конце октября мероприятии Pwn2Own Ireland 2024 исследователи выявили уязвимости в популярных устройствах, включая NAS-системы, камеры и другие подключённые устройства. Среди затронутых оказалась продукция компании TrueNAS, в стандартной конфигурации которой обнаружили несколько опасных уязвимостей.

Во время соревнований команды хакеров успешно атаковали устройства TrueNAS Mini X, демонстрируя риски, связанные с уязвимостями в сетевой инфраструктуре. Особо отличилась команда Viettel Cyber Security, заработавшая $50 000 и 10 баллов «Master of Pwn», благодаря комбинации SQL-инъекции и обхода аутентификации через роутер QNAP и устройство TrueNAS.

Другая команда, Computest Sector 7, провела успешную атаку, используя четыре уязвимости на устройствах QNAP и TrueNAS Mini X. Среди выявленных проблем оказались SQL-инъекции, обход аутентификации, некорректная проверка сертификатов, команды с привилегиями и использование жёстко закодированных криптографических ключей.

TrueNAS отреагировала на итоги соревнований, опубликовав рекомендации для пользователей и подчеркнув важность соблюдения правил безопасности. Компания отметила, что уязвимости затрагивают устройства в стандартной конфигурации без дополнительной защиты.

Пользователям рекомендовано ознакомиться с инструкциями и внедрить лучшие практики безопасности, чтобы минимизировать риски до выхода обновлений. Такие меры значительно усложнят эксплуатацию уязвимостей злоумышленниками.

В частности, TrueNAS напоминает о необходимости усиления конфигурации NAS-устройств, включая правильную настройку сертификатов и использование уникальных ключей. Следование этим советам снижает вероятность успешных атак.

Участники Pwn2Own продемонстрировали важность безопасности в современном мире, где взломы сетевых устройств могут привести к серьёзным последствиям. Конкурсы такого рода стимулируют разработчиков к улучшению систем и более быстрому устранению уязвимостей.

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь