Tijdens de Pwn2Own-wedstrijd in Ierland ontdekten deelnemers zeven QNAP-kwetsbaarheden.
QNAP heeft zeven kwetsbaarheden verholpen die onderzoekers misbruikten om NAS-apparaten te hacken tijdens de Pwn2Own 2025-wedstrijd in Ierland. De fouten troffen zowel de besturingssystemen QTS en QuTS hero. Ook andere applicaties waaronder Hyper Data Protector, Malware Remover en HBS 3 Hybrid Backup Sync zijn getroffen.
Zeven kwetsbaarheden
De kwetsbaarheden (geregistreerd onder CVE-2025-62847 tot -62849 en CVE-2025-59389, -11837, -62840 en -62842) werden tijdens de wedstrijd gedemonstreerd door verschillende teams. Ze maakten het uitvoeren van code op afstand mogelijk en konden kwaadwillenden volledige controle over getroffen NAS-systemen geven.
QNAP heeft patches uitgebracht voor alle kwetsbare producten. Het bedrijf roept gebruikers op hun systeem onmiddellijk bij te werken naar:
- QTS 5.2.7.3297 of QuTS hero h5.2.7.3297 / h5.3.1.3292
- Hyper Data Protector 2.2.4.1 of hoger
- Malware Remover 6.6.8.20251023 of hoger
- HBS 3 Hybrid Backup Sync 26.2.0.938 of hoger
Updates kunnen worden uitgevoerd via het Configuratiescherm > Systeem > Firmware-update of via de App Center-zoekfunctie. QNAP raadt daarnaast aan alle wachtwoorden te wijzigen en systemen regelmatig bij te werken om toekomstige aanvallen te voorkomen.
Beveiligingspatch voor QuMagie
Naast de Pwn2Own-patches heeft QNAP ook QuMagie 2.7.0 uitgebracht met een patch voor een kritieke SQLi-kwetsbaarheid (CVE-2025-52425) in de fotobeheersoftware. Die liet aanvallers toe om op afstand ongeautoriseerde code uit te voeren.
De fabrikant benadrukt dat het regelmatig bijwerken van het NAS-systeem de beste verdediging blijft tegen misbruik van dit soort kwetsbaarheden