A fabricante taiwanesa de equipamentos de rede QNAP Systems liberou na sexta-feira passada, 5, patches para uma dúzia de vulnerabilidades em seu portfólio de produtos, incluindo falhas de alta gravidade em seu sistema operacional.
O primeiro dos problemas de alta gravidade é o CVE-2023-39296, que é descrito como um protótipo de falha de poluição que pode permitir que invasores remotos “substituam atributos existentes por outros de tipo incompatível, o que pode causar falha no sistema”, explica a QNAP em seu comunicado.
O bug afeta as versões 5.1.x do QTS e as versões h5.1.x do QuTS hero e foi resolvido com o lançamento do QTS 5.1.3.2578 build 20231110 e do QuTS hero h5.1.3.2578 build 20231110. Os dois também corrigem o CVE-2022-43634, um defeito de segurança no Netatalk que pode permitir que invasores executem código arbitrário remotamente (RCE), sem autenticação.
Na sexta-feira, a QNAP também lançou patches para duas vulnerabilidades de alta gravidade no Video Station — uma injeção de SQL (CVE-2023-41287) e uma injeção de comando do sistema operacional (CVE-2023-41288) — que podem ser exploradas na rede. A versão 5.7.2 do Video Station resolve ambos os problemas.
Dois outros bugs de alta gravidade e exploráveis remotamente foram resolvidos com o lançamento do QuMagie 2.2.1, nomeadamente CVE-2023-47559, uma falha de cross-site scripting (XSS), e CVE-2023-47560, um defeito de injeção de comando do sistema operacional.
Veja isso
Mais de 29 mil dispositivos QNAP vulneráveis a injeção de código
Dispositivos da QNAP sob ataque do Deadbolt desde janeiro
Além disso, a QNAP anunciou patches para várias outras vulnerabilidades de gravidade média e baixa no QTS, QuTS hero, QcalAgent e QuMagie. Detalhes sobre essas falhas podem ser encontrados na página de avisos de segurança da QNAP.
A QNAP não faz menção a nenhuma dessas falhas de segurança sendo exploradas em estado selvagem, mas sabe-se que os agentes de ameaças têm como alvo dispositivos QNAP não corrigidos em ataques maliciosos.Conhecida principalmente por seus produtos de armazenamento conectado à rede (NAS) e gravador de vídeo em rede profissional (NVR), a QNAP também fabrica vários tipos de equipamentos de rede.