Threats

Vulnerabilidade crítica permite acesso a dispositivos NAS da Qnap

Vulnerabilidade de gravidade crítica pode permitir que invasores acedam a dispositivos NAS da Qnap sem autenticação

12/03/2024

Vulnerabilidade crítica permite acesso a dispositivos NAS da Qnap

A Qnap Systems anunciou o lançamento de patches para um conjunto de vulnerabilidades que estão a afetar os seus produtos, nomeadamente uma falha de gravidade crítica que permite o acesso não autenticado em dispositivos de armazenamento conectado à rede (NAS).

Com uma pontuação de CVSS de 9,8, a vulnerabilidade seguida como CVE-2024-21899 é descrita como um problema de autenticação impróprio que “pode permitir que os utilizadores comprometam a segurança do sistema através de uma rede”, segundo a Qnap.

A Qnap afirma que a falha em questão está a afetar os seus produtos QTS, QuTS hero e QuTScloud e, principalmente expõe os dispositivos NAS a acessos não autenticados.

A vulnerabilidade foi corrigida com o lançamento de QTS 5.1.3.2578 build 20231110 e 4.5.4.2627 build 20231225, QuTS hero h5.1.3.2578 build 20231110 e h4.5.4.2626 build 20231225 e QuTScloud c5.1.5.2651.

O comunicado da empresa identifica duas outras vulnerabilidades abordadas em QTS, QuTS hero, QuTScloud e myQNAPcloud. Rastreadas como CVE-2024-21900 e CVE-2024-21901, são descritas como problemas de gravidade média que levam à execução de comandos ou injeção de código numa rede. Ambos os bugs requerem que a autenticação seja explorada, sendo que a falha CVE-2024-21901 exige credenciais de administrador.

As versões QTS 4.5.4.2627 build 20231225 e 5.1.3.2578 build 20231110, QuTS hero versão h5.1.3.2578 build 20231110, QuTScloud versão c5.1.5.2651 e myQNAPcloud versão 1.0.52 (2023/11/24) incluem patches para estas falhas.

A Qnap anunciou também a correção de patches para vários outros bugs de gravidade média no QuMagie Mobile, QTS, QuTS hero, QuTScloud e Photo Station que podem permitir injeção de código, execução de comandos e divulgação de dados.

A Qnap não mencionou se estas vulnerabilidades estão a ser exploradas em ataques.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.