A QNAP corrigiu oito falhas que poderiam permitir a aquisição de dispositivos NAS

O fornecedor de armazenamento conectado à rede (NAS) QNAP corrigiu vulnerabilidades que poderiam permitir que invasores controlassem dispositivos NAS não corrigidos.

O fornecedor taiwanês QNAP lançou atualizações de segurança para corrigir oito vulnerabilidades que podem ser exploradas por invasores em dispositivos NAS sem patch.

 lista de vulnerabilidades  abordadas pelo QNAP está disponível aqui , inclui XSS e problemas de injeção de comando. As falhas corrigidas pelo fornecedor são classificadas como segurança de média e alta gravidade.

 As vulnerabilidades de alta gravidade rastreadas como CVE-2020-2495, CVE-2020-2496, CVE-2020-2497 e CVE-2020-2498 são falhas de script cross-side que podem permitir que invasores remotos injetem código malicioso na File Station , para injetar código malicioso nos Logs de conexão do sistema e para injetar código malicioso na configuração do certificado.

Outros problemas de alta gravidade corrigidos pelo fornecedor são:

  • CVE-2020-2493 – Vulnerabilidade de script entre sites no console multimídia
  • CVE-2020-2491 – Vulnerabilidade de script entre sites em Photo Station

O fornecedor taiwanês lançou atualizações de segurança para o sistema operacional baseado em ZFS de alto desempenho QNAP QuTS hero e o sistema operacional QTS NAS.

Os clientes devem aplicar as atualizações de segurança o mais rápido possível para evitar que seus dispositivos sejam comprometidos.

QSnatch QNAP

Em outubro, o fornecedor publicou um comunicado para alertar os clientes de que certas versões de seu NAS OS (QTS) são afetadas pela vulnerabilidade do Zerologon.

Em outubro, a QNAP também abordou duas vulnerabilidades de segurança críticas no   aplicativo Helpdesk que podem permitir que os agentes de ameaças assumam os dispositivos vulneráveis ​​de armazenamento conectado à rede (NAS) da QNAP.

Em setembro, enquanto o ransomware AgeLocker continuava a ter como alvo os sistemas NAS da QNAP, o fornecedor taiwanês pediu aos clientes que atualizassem o firmware e os aplicativos.

No início de agosto, a empresa taiwanesa  instou  seus usuários a atualizar o aplicativo Malware Remover para evitar que dispositivos NAS sejam infectados pelo  malware QSnatch .

Em junho, a empresa também alertou sobre ataques de ransomware eCh0raix que visavam seus dispositivos NAS.