A QNAP alerta sobre vulnerabilidades em seus produtos de software NAS, incluindo QTS, QuTS hero, QuTScloud e myQNAPcloud, que podem permitir que invasores acessem os dispositivos.
A fabricante taiwanesa de dispositivos NAS (Network Attached Storage ou, em português, armazenamento conectado à rede) divulgou três vulnerabilidades que podem levar ao desvio de autenticação, injeção de comando e injeção de SQL. Enquanto as duas últimas exigem que os invasores sejam autenticados no sistema alvo, o que diminui significativamente o risco, a primeira (CVE-2024-21899) pode ser executada remotamente sem autenticação e é classificada como de “baixa complexidade”.
As três falhas corrigidas são as seguintes:
• CVE-2024-21899: mecanismos de autenticação inadequados permitem que usuários não autorizados comprometam a segurança do sistema através da rede (remotamente).
• CVE-2024-21900: esta vulnerabilidade pode permitir que usuários autenticados executem comandos arbitrários no sistema por meio de uma rede, levando potencialmente ao acesso ou controle não autorizado do sistema.
• CVE-2024-21901: esta falha pode permitir que administradores autenticados injetem código SQL malicioso através da rede, comprometendo potencialmente a integridade do banco de dados e manipulando seu conteúdo.
As falhas afetam várias versões dos sistemas operacionais da QNAP, incluindo QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x e o serviço myQNAPcloud 1.0.x.
Recomenda-se aos usuários atualizar para as seguintes versões, que resolvem as três falhas:
• QTS 5.1.3.2578 compilação 20231110 e posterior
• QTS 4.5.4.2627 compilação 20231225 e posterior
• QuTS hero h5.1.3.2578 build 20231110 e posterior
• QuTS hero h4.5.4.2626 compilação 20231225 e posterior
• QuTScloud c5.1.5.2651 e posterior
• myQNAPcloud 1.0.52 (2023/11/24) e posterior
Para QTS, QuTS hero e QuTScloud, os usuários devem fazer login como administradores, navegar até “Painel de Controle > Sistema > Atualização de Firmware” e clicar em “Verificar atualizações” para iniciar o processo de instalação automática.
Para atualizar o myQNAPcloud, faça login como administrador, abra o ‘App Center’, clique na caixa de pesquisa e digite “myQNAPcloud” + ENTER. A atualização deve aparecer nos resultados. Clique no botão ‘Atualizar’ para iniciar.
Veja isso
QNAP corrige falhas críticas no sistema operacional QTS
QNAP lança patches para várias vulnerabilidades em produtos
Os dispositivos NAS geralmente armazenam grandes quantidades de dados valiosos para empresas e indivíduos, incluindo informações pessoais confidenciais, propriedade intelectual e dados comerciais críticos. Ao mesmo tempo, eles não são monitorados de perto, permanecem sempre conectados e expostos à Internet e podem estar usando SO/firmware desatualizados.
Por todas essas razões, os dispositivos NAS são frequentemente alvo de roubo e extorsão de dados. Algumas operações de ransomware anteriormente conhecidas por atingir dispositivos QNAP são DeadBolt, Checkmate e Qlocker.Para acessar o relatório da QNAP (em inglês) que aborda as vulnerabilidades clique aqui.
