Plataforma
other
Componente
hbs-3
Corregido en
3.0.210507
Se ha reportado una vulnerabilidad de control de acceso en versiones antiguas de HBS 3. La explotación de esta falla permite a los atacantes comprometer la seguridad del sistema operativo subyacente. Esta vulnerabilidad afecta a las versiones de HBS 3 iguales o inferiores a v3.0.210507. QNAP ha solucionado esta vulnerabilidad en versiones posteriores, incluyendo v3.0.210507 y las versiones de QTS 4.3.6, 4.3.4 y 4.3.3.
La vulnerabilidad de control de acceso en HBS 3 permite a un atacante obtener acceso no autorizado al sistema operativo. Esto podría resultar en la ejecución remota de código, el robo de datos confidenciales, la modificación de archivos del sistema y la toma de control completa del dispositivo afectado. Un atacante podría, por ejemplo, escalar privilegios para acceder a información sensible almacenada en el sistema, o incluso utilizar el dispositivo como punto de apoyo para atacar otros sistemas en la red. La severidad crítica de esta vulnerabilidad indica un alto riesgo de explotación y un impacto potencialmente devastador.
Esta vulnerabilidad fue publicada el 8 de julio de 2021. No se ha reportado explotación activa a gran escala, pero la alta severidad (CVSS 9.8) y la naturaleza de control de acceso la convierten en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier signo de intrusión.
Organizations utilizing legacy QNAP HBS 3 installations, particularly those with shared hosting environments or those running older QTS versions, are at heightened risk. Environments where HBS 3 is exposed directly to the internet or lacks proper network segmentation are also particularly vulnerable.
• linux / server:
journalctl -u hbs3 | grep -i "error" -i "exception"• generic web:
curl -I http://<HBS3_IP>/ # Check for unexpected response codes or exposed directories• windows / supply-chain: (If HBS 3 is accessed via Windows)
Get-Process -Name hbs3 # Check if the process is running unexpectedlydisclosure
patch
Estado del Exploit
EPSS
0.58% (69% percentil)
Vector CVSS
La mitigación principal para CVE-2021-28809 es actualizar HBS 3 a la versión v3.0.210507 o superior, o a las versiones compatibles de QTS (4.3.6, 4.3.4, 4.3.3). Si la actualización causa problemas de compatibilidad, considere realizar una reversión a una versión anterior estable antes de aplicar la actualización. Implemente reglas en firewalls y sistemas de detección de intrusos para bloquear el acceso no autorizado a los servicios de HBS 3. Revise los registros del sistema en busca de actividad sospechosa.
Actualice HBS 3 a la versión 3.0.210507 o posterior para QTS 4.3.6, o a la versión 3.0.210506 o posterior para QTS 4.3.4 y QTS 4.3.3. Esto solucionará la vulnerabilidad de control de acceso inadecuado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-28809 is a critical vulnerability in QNAP HBS 3 allowing unauthorized access and potential OS compromise. It affects versions up to v3.0.210507.
You are affected if you are running QNAP HBS 3 versions v3.0.210507 or earlier on QTS 4.3.6, 4.3.4, or 4.3.3.
Upgrade to HBS 3 v3.0.210507 or later, depending on your QTS version. Implement stricter access controls and network segmentation as interim measures.
While no active exploitation has been publicly confirmed, the vulnerability's severity suggests a potential for exploitation.
Refer to the QNAP Security Bulletin: https://www.qnap.com/security/advisory/20210708-hbs-3
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.