- TrueNAS beveelt aan om systemen te versterken om risico’s te beperken
- Pwn2Own toont diverse aanvalsvectoren op NAS-systemen
- Cybersecurityteams verdienen meer dan 1 miljoen dollar met het vinden van exploits
Tijdens het recente Pwn2Own Ireland 2024-evenement hebben beveiligingsonderzoekers kwetsbaarheden geïdentificeerd in verschillende apparaten die veel worden gebruikt, waaronder netwerkopslag NAS-apparatencamera’s en andere aangesloten producten.
TrueNAS was een van de bedrijven wiens producten met succes het doelwit waren tijdens het evenement, waarbij kwetsbaarheden werden aangetroffen in zijn producten met standaard, niet-geharde configuraties.
Na de wedstrijd is TrueNAS begonnen met het implementeren van updates om hun producten te beveiligen tegen deze nieuw ontdekte kwetsbaarheden.
Beveiligingslekken op meerdere apparaten
Tijdens de wedstrijd hebben meerdere teams met succes TrueNAS Mini X-apparaten misbruikt, wat het potentieel voor aanvallers aantoont om onderling verbonden kwetsbaarheden tussen verschillende netwerkapparaten te benutten. Het Viettel Cyber Security-team verdiende met name $ 50.000 en 10 Master of Pwn-punten door SQL-injectie en authenticatie omzeil kwetsbaarheden van een QNAP-router naar het TrueNAS-apparaat.
Bovendien voerde het Computest Sector 7-team ook een succesvolle aanval uit door zowel een QNAP-router als een TrueNAS Mini X te misbruiken met behulp van vier kwetsbaarheden. De soorten kwetsbaarheden omvatten opdrachtinjectie, SQL-injectie, authenticatie-bypass, onjuiste certificaatvalidatie en hardgecodeerde cryptografische sleutels.
TrueNAS reageerde op de resultaten door een adviserend voor zijn gebruikers, waarbij de kwetsbaarheden worden erkend en het belang wordt benadrukt van het volgen van beveiligingsaanbevelingen om gegevensopslagsystemen te beschermen tegen mogelijke exploits.
Door zich aan deze richtlijnen te houden, kunnen gebruikers hun verdediging versterken, waardoor het voor aanvallers moeilijker wordt om bekende kwetsbaarheden te misbruiken.
TrueNAS informeerde klanten dat de kwetsbaarheden standaard, niet-geharde installaties troffen, wat betekent dat gebruikers die de aanbevolen beveiligingspraktijken volgen al een verminderd risico lopen.
TrueNAS heeft alle gebruikers geadviseerd om de beveiligingsrichtlijnen te herzien en best practices te implementeren, die de blootstelling aan potentiële bedreigingen aanzienlijk kunnen minimaliseren totdat de patches volledig zijn uitgerold.
Via Beveiligingsweek