QNAP corrige falhas críticas no sistema operacional QTS
7 de Fevereiro de 2024

A fabricante taiwanesa de equipamentos de rede, QNAP Systems, disponibilizou atualizações para duas dezenas de vulnerabilidades em seus produtos, incluindo duas falhas de alta gravidade que possibilitam a execução de comandos.

Os erros, rastreados como CVE-2023-45025 e CVE-2023-39297 , são descritos como falhas de injeção de comando do sistema operacional que afetam as versões 5.1.xe 4.5.x do QTS, as versões do QuTS hero h5.1.x e h4.5.x e QuTScloud versão 5.x.

O primeiro problema, diz a QNAP, pode ser explorado pelos usuários para executar comandos através da rede, sob determinadas configurações do sistema.

O segundo erro requer autenticação para exploração bem-sucedida, de acordo com a empresa.

A QNAP também lançou correções para CVE-2023-47567 e CVE-2023-47568 , duas falhas exploráveis remotamente no QTS, QuTS hero e QuTScloud que necessitam de autenticação como administrador para uma exploração bem-sucedida.

O CVE-2023-47567 , de acordo com a empresa, é uma injeção de comando do sistema operacional, enquanto o CVE-2023-47568 é uma vulnerabilidade de injeção de SQL.

Todas as quatro falhas de segurança foram corrigidas nas versões QTS 5.1.4.2596 build 20231128 e 4.5.4.2627 build 20231225, nas versões QuTS hero h5.1.4.2596 build 20231128 e h4.5.4.2626 build 20231225 e no QuTScloud versões c5.1.5.2651.

Veja isso: Mais de 29 mil dispositivos QNAP vulneráveis à injeção de código; Dispositivos da QNAP sob ataque do Deadbolt desde janeiro.

A QNAP também corrigiu uma terceira vulnerabilidade de alta gravidade, afetando as versões 4.4.xe 4.3.x do Qsync Central, que poderia permitir que usuários autenticados lessem ou modificassem recursos críticos.

Rastreado como CVE-2023-47564, o erro é descrito como uma atribuição incorreta de permissão para recursos críticos e pode ser explorado em uma rede.

O problema foi resolvido com o lançamento das versões 4.4.0.15 e 4.3.0.11 do Qsync Central.

Além disso, a QNAP lançou atualizações para várias vulnerabilidades de gravidade média que podem levar à execução de código, ataques de negação de serviço (DoS), execução de comandos, desvio de restrições, vazamento de dados confidenciais e injeção de código.

A QNAP não menciona nenhuma dessas falhas sendo exploradas em ataques.

Informações adicionais sobre as vulnerabilidades podem ser encontradas na página de avisos de segurança da QNAP.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...