A QNAP corrigiu sete vulnerabilidades zero-day exploradas por pesquisadores de segurança para invadir dispositivos de armazenamento em rede (NAS) da marca durante a competição Pwn2Own Ireland 2025.
As falhas afetam os sistemas operacionais QTS e QuTS hero (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849), além dos softwares Hyper Data Protector (CVE-2025-59389), Malware Remover (CVE-2025-11837) e HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842).
Em comunicados divulgados na última sexta-feira, a QNAP informou que as vulnerabilidades foram demonstradas durante o Pwn2Own pelas equipes Summoning Team, DEVCORE, Team DDOS e por um estagiário da CyCraft.
Para corrigir essas falhas, a empresa recomenda atualizar os softwares para as versões mais recentes e alterar todas as senhas, a fim de aumentar a segurança.
As vulnerabilidades foram corrigidas nas seguintes versões:
- Hyper Data Protector 2.2.4.1 ou superior
- Malware Remover 6.6.8.20251023 ou superior
- HBS 3 Hybrid Backup Sync 26.2.0.938 ou superior
- QTS 5.2.7.3297 build 24/10/2025 ou superior
- QuTS hero h5.2.7.3297 build 24/10/2025 ou superior
- QuTS hero h5.3.1.3292 build 24/10/2025 ou superior
Para atualizar o sistema operacional e acessar o QTS ou QuTS hero como administrador, o usuário deve entrar em Painel de Controle > Sistema > Atualização de Firmware e clicar em “Verificar Atualizações” na seção Live Update.
Já para atualizar os aplicativos vulneráveis, é preciso fazer login como administrador no QTS ou QuTS hero, abrir o App Center, usar o campo de busca para localizar o app, clicar em “Atualizar” e confirmar a ação.
“A fim de proteger seu dispositivo, recomendamos realizar atualizações regulares para contar com as correções de vulnerabilidades.
Você pode verificar o status de suporte do produto para saber quais atualizações estão disponíveis para o modelo do seu NAS”, orienta a QNAP.
No ano passado, a fabricante também corrigiu duas zero-days exploradas no Pwn2Own Ireland 2024: uma falha de injeção de comandos no sistema operacional (CVE-2024-50388) no Hybrid Backup Sync e outra vulnerabilidade de SQL injection (SQLi) no serviço SMB da QNAP (CVE-2024-50387).
Além disso, hoje a QNAP lançou a versão 2.7.0 do QuMagie, com correção para uma vulnerabilidade crítica de SQL injection (
CVE-2025-52425
) em sua solução de gerenciamento e compartilhamento de fotos.
A falha poderia permitir que invasores remotos executassem códigos ou comandos não autorizados nos dispositivos afetados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...