A QNAP lança correções para 2 falhas críticas que ameaçam seus dispositivos NAS
7 de Novembro de 2023

A QNAP lançou atualizações de segurança para corrigir duas falhas de segurança críticas que afetam seu sistema operacional e que poderiam resultar na execução arbitrária de código.

Rastreada como CVE-2023-23368 (pontuação CVSS: 9,8), a vulnerabilidade é descrita como um bug de injeção de comando que afeta o QTS, QuTS hero e QuTScloud.

"Se explorada, a vulnerabilidade poderia permitir que invasores remotos executem comandos via rede", disse a empresa em um aviso publicado durante o fim de semana.

A deficiência abrange as versões abaixo -

QTS 5.0.x (Corrigido no QTS 5.0.1.2376 build 20230421 e posteriores)
QTS 4.5.x (Corrigido no QTS 4.5.4.2374 build 20230416 e posteriores)
QuTS hero h5.0.x (Corrigido no QuTS hero h5.0.1.2376 build 20230421 e posteriores)
QuTS hero h4.5.x (Corrigido no QuTS hero h4.5.4.2374 build 20230417 e posteriores)
QuTScloud c5.0.x (Corrigido no QuTScloud c5.0.1.2374 e posteriores)

Também corrigida pela QNAP é outra falha de injeção de comando no QTS, Console Multimídia e complemento de Streaming de Mídia ( CVE-2023-23369 , pontuação CVSS: 9.0) que poderia permitir que invasores remotos executem comandos via rede.

As seguintes versões do software são impactadas -

QTS 5.1.x (Corrigido no QTS 5.1.0.2399 build 20230515 e posteriores)
QTS 4.3.6 (Corrigido no QTS 4.3.6.2441 build 20230621 e posteriores)
QTS 4.3.4 (Corrigido no QTS 4.3.4.2451 build 20230621 e posteriores)
QTS 4.3.3 (Corrigido no QTS 4.3.3.2420 build 20230621 e posteriores)
QTS 4.2.x (Corrigido no QTS 4.2.6 build 20230621 e posteriores)
Console Multimídia 2.1.x (Corrigido no Console Multimídia 2.1.2 (2023/05/04) e posteriores)
Console Multimídia 1.4.x (Corrigido no Console Multimídia 1.4.8 (2023/05/05) e posteriores)
Complemento de Streaming de Mídia 500.1.x (Corrigido no Complemento de Streaming de Mídia 500.1.1.2 (2023/06/12) e posteriores)
Complemento de Streaming de Mídia 500.0.x (Corrigido no Complemento de Streaming de Mídia 500.0.0.11 (2023/06/16) e posteriores)

Com dispositivos QNAP explorados para ataques de ransomware no passado, usuários que usam uma das versões mencionadas são incentivados a atualizar para a versão mais recente para mitigar possíveis ameaças.

O desenvolvimento ocorre semanas depois que a empresa taiwanesa revelou que derrubou um servidor malicioso usado em ataques de força bruta generalizados visando dispositivos de armazenamento conectados à rede (NAS) expostos à internet com senhas fracas.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...