На прошедшем в конце октября мероприятии Pwn2Own Ireland 2024 исследователи выявили уязвимости в популярных устройствах, включая NAS-системы, камеры и другие подключённые устройства. Среди затронутых оказалась продукция компании TrueNAS, в стандартной конфигурации которой обнаружили несколько опасных уязвимостей.
Во время соревнований команды хакеров успешно атаковали устройства TrueNAS Mini X, демонстрируя риски, связанные с уязвимостями в сетевой инфраструктуре. Особо отличилась команда Viettel Cyber Security, заработавшая $50 000 и 10 баллов “Master of Pwn”, благодаря комбинации SQL-инъекции и обхода аутентификации через роутер QNAP и устройство TrueNAS.
Другая команда, Computest Sector 7, провела успешную атаку, используя четыре уязвимости на устройствах QNAP и TrueNAS Mini X. Среди выявленных проблем оказались SQL-инъекции, обход аутентификации, некорректная проверка сертификатов, команды с привилегиями и использование жёстко закодированных криптографических ключей.
TrueNAS отреагировала на итоги соревнований, опубликовав рекомендации для пользователей и подчеркнув важность соблюдения правил безопасности. Компания отметила, что уязвимости затрагивают устройства в стандартной конфигурации без дополнительной защиты.
Пользователям рекомендовано ознакомиться с инструкциями и внедрить лучшие практики безопасности, чтобы минимизировать риски до выхода обновлений. Такие меры значительно усложнят эксплуатацию уязвимостей злоумышленниками.
В частности, TrueNAS напоминает о необходимости усиления конфигурации NAS-устройств, включая правильную настройку сертификатов и использование уникальных ключей. Следование этим советам снижает вероятность успешных атак.
Участники Pwn2Own продемонстрировали важность безопасности в современном мире, где взломы сетевых устройств могут привести к серьёзным последствиям. Конкурсы такого рода стимулируют разработчиков к улучшению систем и более быстрому устранению уязвимостей.