A QNAP lançou atualizações de segurança para corrigir duas falhas de segurança críticas que afetam seu sistema operacional e que poderiam resultar na execução arbitrária de código.
Rastreada como
CVE-2023-23368
(pontuação CVSS: 9,8), a vulnerabilidade é descrita como um bug de injeção de comando que afeta o QTS, QuTS hero e QuTScloud.
"Se explorada, a vulnerabilidade poderia permitir que invasores remotos executem comandos via rede", disse a empresa em um aviso publicado durante o fim de semana.
A deficiência abrange as versões abaixo -
QTS 5.0.x (Corrigido no QTS 5.0.1.2376 build 20230421 e posteriores)
QTS 4.5.x (Corrigido no QTS 4.5.4.2374 build 20230416 e posteriores)
QuTS hero h5.0.x (Corrigido no QuTS hero h5.0.1.2376 build 20230421 e posteriores)
QuTS hero h4.5.x (Corrigido no QuTS hero h4.5.4.2374 build 20230417 e posteriores)
QuTScloud c5.0.x (Corrigido no QuTScloud c5.0.1.2374 e posteriores)
Também corrigida pela QNAP é outra falha de injeção de comando no QTS, Console Multimídia e complemento de Streaming de Mídia (
CVE-2023-23369
, pontuação CVSS: 9.0) que poderia permitir que invasores remotos executem comandos via rede.
As seguintes versões do software são impactadas -
QTS 5.1.x (Corrigido no QTS 5.1.0.2399 build 20230515 e posteriores)
QTS 4.3.6 (Corrigido no QTS 4.3.6.2441 build 20230621 e posteriores)
QTS 4.3.4 (Corrigido no QTS 4.3.4.2451 build 20230621 e posteriores)
QTS 4.3.3 (Corrigido no QTS 4.3.3.2420 build 20230621 e posteriores)
QTS 4.2.x (Corrigido no QTS 4.2.6 build 20230621 e posteriores)
Console Multimídia 2.1.x (Corrigido no Console Multimídia 2.1.2 (2023/05/04) e posteriores)
Console Multimídia 1.4.x (Corrigido no Console Multimídia 1.4.8 (2023/05/05) e posteriores)
Complemento de Streaming de Mídia 500.1.x (Corrigido no Complemento de Streaming de Mídia 500.1.1.2 (2023/06/12) e posteriores)
Complemento de Streaming de Mídia 500.0.x (Corrigido no Complemento de Streaming de Mídia 500.0.0.11 (2023/06/16) e posteriores)
Com dispositivos QNAP explorados para ataques de ransomware no passado, usuários que usam uma das versões mencionadas são incentivados a atualizar para a versão mais recente para mitigar possíveis ameaças.
O desenvolvimento ocorre semanas depois que a empresa taiwanesa revelou que derrubou um servidor malicioso usado em ataques de força bruta generalizados visando dispositivos de armazenamento conectados à rede (NAS) expostos à internet com senhas fracas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...