Wprowadzenie do problemu / definicja luki
QNAP opublikował pakiet poprawek dla ~24 podatności w swoim portfolio, z czego 7 to 0-daye zademonstrowane podczas Pwn2Own Ireland 2025 (kategoria NAS/SoHo). W grze są zarówno systemy QTS/QuTS hero, jak i aplikacje o wysokich uprawnieniach: HBS 3 (Hybrid Backup Sync), Malware Remover oraz Hyper Data Protector. Skutki obejmują zdalne wykonanie kodu (RCE), ujawnienie informacji, ominięcie mechanizmów bezpieczeństwa oraz DoS. Aktualizacje są już dostępne i powinny zostać wdrożone niezwłocznie.
W skrócie
Minimalne wersje naprawcze:
- QTS: 5.2.7.3297 (build 20251024+)
- QuTS hero: h5.2.7.3297+ lub h5.3.1.3292+
- HBS 3: 26.2.0.938+ (CVE-2025-62840, CVE-2025-62842)
- Malware Remover: 6.6.8.20251023+ (CVE-2025-11837)
- Hyper Data Protector: 2.2.4.1+ (CVE-2025-59389)
Po aktualizacji QNAP zaleca zmianę wszystkich haseł do kont i usług.
Kontekst / historia / powiązania
Na Pwn2Own Ireland 2025 zaprezentowano szereg łańcuchów ataku na QNAP. Team DDOS wykazał m.in. łańcuch 8 błędów na routerach i NAS-ach QNAP (nagroda 100 tys. USD), a DEVCORE skleił kilka podatności (iniekcje + błąd formatu) zdobywając 40 tys. USD. Summoning Team i badacz Chumy Tsai (CyCraft) pokazali kolejne wektory w aplikacjach backupowych. QNAP opublikował odpowiednie biuletyny bezpieczeństwa i patche.
Analiza techniczna / szczegóły luki
Zakres i klasy podatności (przykładowe):
- QTS / QuTS hero – zestaw 3 błędów (m.in. iniekcje i format string), umożliwiający RCE / eskalację w określonych warunkach. Naprawione w QTS 5.2.7.3297 i odpowiednich buildach QuTS hero. (Atrybucja: DEVCORE).
- HBS 3 (Hybrid Backup Sync) – dwa błędy (m.in. w ścieżkach wykonywania zadań backupu/synchronizacji), które w łańcuchach ataku pozwalały na zdalne wykonanie kodu i manipulację treścią kopii (CVE-2025-62840, CVE-2025-62842). Załatane w 26.2.0.938.
- Malware Remover – krytyczny code injection (CVE-2025-11837); komponent działa z wysokimi uprawnieniami, więc RCE skutkuje przejęciem NAS-a. Patch: 6.6.8.20251023.
- Hyper Data Protector – krytyczna podatność (CVE-2025-59389) pozwalająca na kompromitację hosta backupu VM; naprawiona w 2.2.4.1.
Dowód eksploatacji na Pwn2Own (fragmenty łańcuchów, nagrody, celowane modele jak TS-453E) został odnotowany w raportach ZDI z poszczególnych dni konkursu.
Praktyczne konsekwencje / ryzyko
- Zatrucie i sabotaż kopii zapasowych: przejęcie HBS 3 umożliwia modyfikację/wymazywanie danych w repozytoriach off-site (rsync/S3/SMB/WebDAV), co może zniweczyć strategię 3-2-1 i utrudnić odtworzenie po incydencie.
- Eskalacja uprawnień przez komponenty zaufane: Malware Remover i Hyper Data Protector działają z uprawnieniami systemowymi; ich kompromitacja = pełne RCE i potencjalny lateral movement do hipernadzorców/serwerów wirtualizacji.
- Brak sygnałów o atakach „in the wild” na moment publikacji, ale historia QNAP pokazuje, iż luki w NAS-ach gwałtownie stają się celem grup ransomware/botnetów – dlatego czas reakcji ma krytyczne znaczenie.
Rekomendacje operacyjne / co zrobić teraz
1) Aktualizacja systemu i aplikacji
- GUI (zalecane):
Panel sterowania → System → Aktualizacja oprogramowania (QTS/QuTS hero).
App Center → wyszukaj: HBS 3, Malware Remover, Hyper Data Protector → Update.
Wersje docelowe: patrz sekcja „W skrócie”. - CLI (sprawdzenie wersji QPKG):
2) Po aktualizacji – zmień hasła
Zmień hasła do wszystkich kont lokalnych, myQNAPcloud, udziałów i usług (rsync/FTP/SMB/WebDAV), rozważ też rotację kluczy/API używanych przez zadania HBS 3. Rekomendacja producenta po wdrożeniu poprawek.
3) Ogranicz ekspozycję NAS-a
- Wyłącz bezpośredni dostęp z Internetu (port-forwarding, UPnP).
- Używaj VPN/ZTN do administracji; reguły QuFirewall: whitelisting IP/Admin, geo-IP, blokada nietypowych portów.
4) Utwardzenie aplikacji backupu
- HBS 3: stosuj repozytoria WORM/immutable, wersjonowanie, testy odtwarzania (restore drills).
- Hyper Data Protector: separuj konta serwisowe (najmniejsze uprawnienia), monitoruj logi z zadaniami VM.
5) Monitoring i detekcja (przykładowe sygnały do SIEM)
- Nietypowe modyfikacje zadań HBS 3 (nagłe zmiany destynacji/S3 bucket).
- Nowe konta admin lub rotacja haseł poza oknem serwisowym.
- Wywołania skryptów/system() przez procesy QPKG (próby RCE).
Wskazówka: jeżeli nie możesz patchować natychmiast, przynajmniej wyłącz HBS 3/Hyper Data Protector/ekspozycję WAN i odizoluj NAS segmentacją.
Różnice / porównania z innymi przypadkami
- W odróżnieniu od dawnych, pojedynczych RCE w panelach WWW NAS-ów, tutaj „gorącym” celem są aplikacje backupowe (HBS 3, Hyper Data Protector) – ich kompromitacja daje większą dźwignię: modyfikacja kopii, pivot do hostów wirtualizacji, niszczenie ścieżek odtworzeniowych.
- Łańcuchy na Pwn2Own (złożone exploity, łączenie iniekcji z błędami formatu/uwierzytelniania) pokazują rosnącą złożoność ataku i wartość testów red team/bug bounty dla dostawców.
Podsumowanie / najważniejsze wnioski
- Patch first: QTS/QuTS hero + HBS 3 + Malware Remover + Hyper Data Protector do wersji wskazanych powyżej.
- Zmień hasła i klucze natychmiast po aktualizacji.
- Zamknij ekspozycję WAN i wymuś administrację przez VPN/ZTN.
- Zabezpiecz backup (immutability, testy restore, konta o najmniejszych uprawnieniach).
- Monitoruj anomalie w zadaniach backupu i logach QPKG.
To nie jest „zwykły” patch Tuesday – dotyczy komponentów, które decydują o przetrwaniu incydentu (backup i odtwarzanie). Działaj od razu.
Źródła / bibliografia
- SecurityWeek – przegląd poprawek QNAP po Pwn2Own Ireland 2025 (daty, CVE, wersje) (SecurityWeek)
- QNAP QSA-25-46 – Multiple Vulnerabilities in HBS 3 Hybrid Backup Sync (wersja 26.2.0.938+) (qnap.com)
- QNAP QSA-25-47 – Vulnerability in Malware Remover (CVE-2025-11837; 6.6.8.20251023+) (qnap.com)
- QNAP QSA-25-48 – Vulnerability in Hyper Data Protector (CVE-2025-59389; 2.2.4.1+) (qnap.com)
- ZDI – Pwn2Own Ireland 2025 (wyniki dzienne; potwierdzenie łańcuchów i nagród) (zerodayinitiative.com)
![Krytyczna podatność w Androidzie umożliwia zdalne wykonanie kodu, bez interakcji ze strony użytkownika [CVE-2025-48593]](https://sekurak.pl/wp-content/uploads/2025/11/Zrzut-ekranu-2025-11-7-o-13.55.14.png)