QNAP corrige vulnerabilidades críticas

Da Redação
26/11/2024

A QNAP, fabricante de dispositivos NAS (network attached storage) e roteadores, lançou atualizações de segurança para corrigir vulnerabilidades críticas em dois de seus produtos: o aplicativo Notes Station 3 e o sistema operacional QuRouter. Apesar de a avaliação CVSS classificar algumas dessas falhas como críticas, a QNAP rotulou-as apenas como “importantes”, o que pode levar os usuários a atrasarem a instalação das correções, aumentando os riscos.

Leia também
Como governos usarão a IA em 2025
AT&T e Broadcom fazem acordo sobre VMware

Entre as vulnerabilidades identificadas estão o CVE-2024-38643 (CVSS 7.5) e o CVE-2024-38645 (CVSS 9.8) no Notes Station 3, e o CVE-2024-48860 (CVSS 9.5) no QuRouter. Estas falhas permitem, na pior das hipóteses, que invasores remotos obtenham controle total sobre os dispositivos. O CVE-2024-48860, por exemplo, envolve injeção de comandos, permitindo execução remota no roteador. Já o CVE-2024-38643, classificado como “autenticação ausente”, facilita acesso remoto sem verificação de identidade. Por fim, o CVE-2024-38645 permite que invasores autenticados leiam dados de aplicativos por meio de falsificação de solicitações do lado do servidor (SSRF).

O CVSS, sistema usado para mensurar o impacto de vulnerabilidades, avalia fatores como o vetor de ataque, complexidade de exploração e danos à confidencialidade, integridade e disponibilidade dos sistemas. Uma pontuação de 10, máxima no CVSS, indica vulnerabilidades críticas que exigem atenção imediata. No entanto, a QNAP, ao marcar as falhas como “importantes”, pode induzir a subestimação de sua gravidade.

A classificação inadequada gera preocupações sobre a priorização de atualizações por parte dos usuários. Vulnerabilidades críticas demandam ações rápidas para mitigar riscos, especialmente em sistemas amplamente utilizados por empresas e organizações sensíveis.

A QNAP recomenda que os usuários apliquem as atualizações o mais rápido possível, apesar de sua categorização como “importantes”. O incidente destaca a necessidade de maior transparência nas avaliações de segurança para evitar que usuários subestimem os riscos de brechas graves em suas infraestruturas digitais.

Compartilhar: