A QNAP divulgou correções para vulnerabilidades graves encontradas nos seus sistemas QTS e QuTS Hero, identificadas durante o evento hacker Pwn2Own Ireland 2024, realizado em Outubro, na Irlanda.
Dentre os problemas mais alarmantes está a CVE-2024-50393, com uma pontuação de gravidade CVSS de 8,7, a qual permite a execução remota de comandos arbitrários (RCE) em aparelhos que não foram atualizados.
Outro defeito considerável é a CVE-2024-48868, também com CVSS de 8,7, relacionada a uma vulnerabilidade de injeção CRLF que pode viabilizar a manipulação de dados de aplicativos por atacantes.
Em notícia relacionada, a SonicWall realizou a correção de 6 falhas no VPN SMA100, e um ransomware levou uma fábrica de vodca à falência.
As atualizações também abordam problemas como a CVE-2024-48865, que trata de uma falha de validação inadequada de certificados afetando a segurança em redes locais, assim como vulnerabilidades de autenticação imprópria e injeções de CRLF de gravidade média.
Os patches já estão disponíveis para as versões mais atuais do QTS e QuTS Hero, assegurando proteção contra essas ameaças.
Adicionalmente, o License Center foi atualizado para corrigir a CVE-2024-48863, com um score CVSS de 7,7, erradicando a possibilidade de execução remota de comandos.
O Qsync Central também recebeu uma atualização para a versão 4.4.0.16, corrigindo uma vulnerabilidade de gravidade média que expunha partes do sistema de arquivos a acessos não autorizados.
Essas melhorias integram um esforço contínuo da QNAP em assegurar a proteção de seus usuários frente a ameaças em evolução.
Ainda que a QNAP informe que, até o momento, essas vulnerabilidades não foram exploradas ativamente, é altamente recomendável que os usuários atualizem seus sistemas imediatamente.
Dispositivos da QNAP são frequentemente alvos de ataques cibernéticos, tornando as atualizações cruciais para a manutenção da segurança das redes e informações corporativas.
Informações adicionais podem ser encontradas na página oficial de segurança da QNAP.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...