A QNAP anunciou patches para vulnerabilidades graves em seus sistemas QTS e QuTS Hero, descobertas no concurso de hackers Pwn2Own Ireland 2024, ocorrido em Outubro, na Irlanda. Entre as falhas mais críticas está a CVE-2024-50393, com pontuação CVSS de 8,7, que permite execução remota de comandos arbitrários (RCE) em dispositivos não atualizados. Outra falha significativa é a CVE-2024-48868, igualmentecom CVSS 8,7, uma vulnerabilidade de injeção CRLF que possibilita a manipulação de dados de aplicativos por invasores.
Leia também
SonicWall corrige 6 falhas na VPN SMA100
Ransomware leva fábrica de vodca à falência
As atualizações corrigem também problemas como a CVE-2024-48865, uma falha de validação inadequada de certificados que compromete a segurança em redes locais, além de vulnerabilidades de autenticação imprópria e injeções de CRLF de gravidade média. Os patches estão disponíveis para as versões mais recentes do QTS e QuTS Hero, garantindo proteção contra essas ameaças.
Além disso, o License Center recebeu uma atualização que resolve a CVE-2024-48863, com pontuação CVSS de 7,7, eliminando a possibilidade de execução remota de comandos. O Qsync Central também foi atualizado para a versão 4.4.0.16, corrigindo uma vulnerabilidade de gravidade média que permitia acesso não autorizado a partes do sistema de arquivos. Essas melhorias são parte do esforço contínuo da QNAP para proteger seus usuários contra ameaças crescentes.
Embora a QNAP tenha informado que nenhuma dessas vulnerabilidades foi explorada ativamente até agora, recomenda-se que os usuários atualizem seus sistemas imediatamente. Dispositivos QNAP têm sido alvos frequentes de ataques cibernéticos, e as atualizações são essenciais para manter a segurança das redes e dados corporativos. Detalhes adicionais estão disponíveis na página oficial de segurança da QNAP.