QNAP이 아일랜드에서 열린 Pwn2Own 2024 대회에서 보안 연구자들이 발견한 두 가지 제로데이 취약점에 대해 신속히 보안 패치를 발표했다. 이번에 발견된 첫 번째 취약점은 SMB 서비스의 SQL 삽입(SQL injection) 결함(CVE-2024-50387)으로, 연구팀 DEVCORE 인턴십 프로그램의 ‘잉무(YingMuo)’가 이를 활용해 QNAP TS-464 NAS 기기의 루트 접근을 획득한 바 있다. 이 취약점은 QTS 4.15.002 및 QuTS hero h4.15.002 이상의 버전에서 수정됐다.
또한, 두 번째 제로데이 취약점은 QNAP의 데이터 백업 솔루션인 HBS 3 하이브리드 백업 싱크(Hybrid Backup Sync)에서 발견된 명령어 주입 결함으로, 베트남의 Viettel 사이버 보안팀이 이를 악용해 NAS 장치를 해킹하는 데 성공했다. Viettel 팀은 이번 대회에서 70여 개의 제로데이 취약점을 발견하며 Pwn2Own 2024 대회에서 우승을 차지했으며, 이로 인해 대회 총 상금 100만 달러를 넘는 금액이 해커들에게 돌아갔다.
이번 취약점 패치에 대해 QNAP은 NAS 장치에서 App Center를 통해 최신 버전으로 업데이트할 것을 권장했다. NAS 기기는 민감한 데이터를 저장하는 용도로 자주 사용되며, 최근 사이버 공격자들 사이에서 공격 표적이 되는 사례가 늘고 있다. 과거에도 eCh0raix, AgeLocker와 같은 랜섬웨어 공격이 QNAP NAS 장치의 취약점을 악용해 데이터를 암호화하고 금전을 요구한 사례가 보고됐다.
QNAP은 사용자가 빠르게 소프트웨어를 최신 버전으로 업데이트할 것을 강조했으며, NAS 장치가 특히 정보 유출과 랜섬웨어 공격의 위험에 노출되어 있어, 이러한 보안 패치가 매우 중요하다고 언급했다.