Neben Produkten von QNAP und Synology wurden bei dem Wettbewerb auch TrueNAS-Systeme attackiert. Erste Patches und Empfehlungen sind verfügbar.

Teilnehmer der Pwn2Own in Irland haben in der vergangenen Woche mehr als 70 Zero-Day-Schwachstellen ausgenutzt, um vernetzte Geräte verschiedener Kategorien zu attackieren und Preisgelder von zusammen mehr als einer Million US-Dollar zu kassieren. Viele Angriffe zielten dabei auf Produkte der NAS-Hersteller QNAP und Synology sowie auf TrueNAS-Systeme ab. Mittlerweile haben alle drei Hersteller in irgendeiner Form auf die Sicherheitslücken reagiert.

Erste Patches gibt es beispielsweise von Synology. Das Unternehmen hat schon am 25. Oktober Updates für Beephotos für Beestation OS 1.0 und 1.1 sowie Synology Photos 1.7 und 1.6 für DSM 7.2 bereitgestellt. Diese schließen jeweils eine kritische Sicherheitslücke, die es Angreifern erlaubt, aus der Ferne Schadcode auszuführen.

Seit dem 29. Oktober gibt es zudem auch einen Patch von QNAP, der eine kritische Schwachstelle in der Datensicherungslösung HBS 3 Hybrid Backup Sync schließt. Auch diese ermöglicht eine Schadcodeausführung aus der Ferne. Wie der Hersteller in einer Sicherheitsmeldung verkündet, wurde die als CVE-2024-50388 registrierte Lücke mit der Versionsnummer 25.1.1.673 geschlossen.