A QNAP divulgou boletins de segurança ao longo do fim de semana, que tratam de múltiplas vulnerabilidades, incluindo três falhas de gravidade crítica que os usuários devem resolver o quanto antes.
Começando pelo QNAP Notes Station 3, uma aplicação de anotações e colaboração usada nos sistemas NAS da empresa, as seguintes duas vulnerabilidades o impactam:
CVE-2024-38643 – A ausência de autenticação para funções críticas poderia permitir que atacantes remotos obtivessem acesso não autorizado e executassem funções específicas do sistema.
A falta de mecanismos de autenticação adequados torna possível que atacantes explorem essa falha sem credenciais prévias, levando a um possível comprometimento do sistema.
(CVSS v4 score: 9.3, "crítico")
CVE-2024-38645 – Vulnerabilidade de Server-side request forgery (SSRF) que poderia possibilitar a atacantes remotos com credenciais de autenticação enviar solicitações manipuladas que alteram o comportamento do lado do servidor, expondo potencialmente dados sensíveis da aplicação.
A QNAP resolveu essas questões no Notes Station 3 versão 3.9.7 e recomenda que os usuários atualizem para esta versão ou mais recente para mitigar o risco.
Instruções sobre a atualização estão disponíveis neste boletim.
As outras duas questões listadas no mesmo boletim, CVE-2024-38644 e CVE-2024-38646, são problemas de injeção de comando e acesso não autorizado a dados de alta gravidade (CVSS v4 score: 8.7, 8.4) que requerem acesso ao nível do usuário para serem explorados.
A terceira falha crítica abordada pela QNAP no sábado é o CVE-2024-48860, impactando produtos QuRouter 2.4.x, a linha de roteadores seguros e de alta velocidade da QNAP.
A falha, classificada como 9.5 "crítica" de acordo com CVSS v4, é uma falha de injeção de comando OS que poderia permitir que atacantes remotos executem comandos no sistema hospedeiro.
A QNAP também corrigiu um segundo problema de injeção de comando menos grave, rastreado como CVE-2024-48861, com ambas as questões resolvidas na versão QuRouter 2.4.3.106.
Outros produtos que receberam correções importantes neste fim de semana são o QNAP AI Core (motor de IA), QuLog Center (ferramenta de gerenciamento de registros), QTS (OS padrão para dispositivos NAS) e QuTS Hero (versão avançada do QTS).
Aqui está um resumo das falhas mais importantes que foram corrigidas nesses produtos, com uma classificação CVSS v4 entre 7.7 e 8.7 (alta).
CVE-2024-38647: Problema de exposição de informações que poderia permitir a atacantes remotos acessar dados sensíveis e comprometer a segurança do sistema.
A falha afeta a versão 3.4.x do QNAP AI Core e foi resolvida na versão 3.4.1 e posteriores.
CVE-2024-48862: Falha de seguimento de link que poderia permitir a atacantes remotos não autorizados atravessar o sistema de arquivos e acessar ou modificar arquivos.
Ela impacta as versões 1.7.x e 1.8.x do QuLog Center, e foi corrigida nas versões 1.7.0.831 e 1.8.0.888.
CVE-2024-50396 e CVE-2024-50397: Manuseio incorreto de strings de formato controladas externamente, o que poderia permitir a atacantes acessar dados sensíveis ou modificar a memória.
CVE-2024-50396 pode ser explorado remotamente para manipular a memória do sistema, enquanto o CVE-2024-50397 requer acesso ao nível do usuário.
Ambas as vulnerabilidades foram resolvidas no QTS 5.2.1.2930 e QuTS hero h5.2.1.2929.
Clientes da QNAP são fortemente aconselhados a instalar as atualizações o quanto antes para permanecerem protegidos contra possíveis ataques.
Como sempre, dispositivos QNAP nunca devem ser conectados diretamente à Internet e devem, em vez disso, ser implementados atrás de uma VPN para prevenir a exploração remota das falhas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...