Vulnerabilidade crítica permite acesso a dispositivos NAS da Qnap

A Qnap Systems anunciou o lançamento de patches para um conjunto de vulnerabilidades que estão a afetar os seus produtos, nomeadamente uma falha de gravidade crítica que permite o acesso não autenticado em dispositivos de armazenamento conectado à rede (NAS).

Com uma pontuação de CVSS de 9,8, a vulnerabilidade seguida como CVE-2024-21899 é descrita como um problema de autenticação impróprio que “pode permitir que os utilizadores comprometam a segurança do sistema através de uma rede”, segundo a Qnap.

A Qnap afirma que a falha em questão está a afetar os seus produtos QTS, QuTS hero e QuTScloud e, principalmente expõe os dispositivos NAS a acessos não autenticados.

A vulnerabilidade foi corrigida com o lançamento de QTS 5.1.3.2578 build 20231110 e 4.5.4.2627 build 20231225, QuTS hero h5.1.3.2578 build 20231110 e h4.5.4.2626 build 20231225 e QuTScloud c5.1.5.2651.

O comunicado da empresa identifica duas outras vulnerabilidades abordadas em QTS, QuTS hero, QuTScloud e myQNAPcloud. Rastreadas como CVE-2024-21900 e CVE-2024-21901, são descritas como problemas de gravidade média que levam à execução de comandos ou injeção de código numa rede. Ambos os bugs requerem que a autenticação seja explorada, sendo que a falha CVE-2024-21901 exige credenciais de administrador.

As versões QTS 4.5.4.2627 build 20231225 e 5.1.3.2578 build 20231110, QuTS hero versão h5.1.3.2578 build 20231110, QuTScloud versão c5.1.5.2651 e myQNAPcloud versão 1.0.52 (2023/11/24) incluem patches para estas falhas.

A Qnap anunciou também a correção de patches para vários outros bugs de gravidade média no QuMagie Mobile, QTS, QuTS hero, QuTScloud e Photo Station que podem permitir injeção de código, execução de comandos e divulgação de dados.

A Qnap não mencionou se estas vulnerabilidades estão a ser exploradas em ataques.