QNAP corrige bug crítico que permite injeção de código malicioso
A QNAP está alertando os clientes para instalar atualizações de firmware QTS e QuTS que corrigem uma vulnerabilidade de segurança crítica que permite que invasores remotos injetem código malicioso em dispositivos QNAP NAS.
A vulnerabilidade é rastreada como CVE-2022-27596 e classificada pela empresa como ‘Crítica’ (pontuação CVSS v3: 9,8), afetando as versões QTS 5.0.1 e QuTS hero h5.0.1 do sistema operacional.
“Uma vulnerabilidade foi relatada para afetar dispositivos QNAP executando QTS 5.0.1 e QuTS hero h5.0.1. Se explorada, esta vulnerabilidade permite que atacantes remotos injetem código malicioso”, alerta o comunicado de segurança QNAP .
O fornecedor não divulgou muitos detalhes sobre a vulnerabilidade ou seu potencial de exploração, mas o portal NIST a descreve como uma falha de injeção de SQL.
As falhas de injeção SQL permitem que os invasores enviem solicitações especialmente criadas em dispositivos vulneráveis para modificar consultas SQL legítimas para executar um comportamento inesperado.
Além disso, a QNAP lançou um arquivo JSON descrevendo a gravidade da vulnerabilidade, o que indica que ela pode ser explorada em ataques de baixa complexidade por invasores remotos, sem exigir interação do usuário ou privilégios no dispositivo de destino.
A QNAP diz que os dispositivos dos usuários rodando em QTS e QuTS hero devem atualizar para as seguintes versões para permanecerem seguros:
- QTS 5.0.1.2234 compilação 20221201 e posterior
- QuTS hero h5.0.1.2248 compilação 20221215 e posterior
Para realizar a atualização, os clientes podem fazer login em seus dispositivos como usuário administrador e ir para ” Painel de controle → Sistema → Atualização de firmware “.
Na seção ” Atualização ao vivo “, clique na opção ” Verificar atualização ” e aguarde a conclusão do download e da instalação.
Como alternativa, os usuários da QNAP podem baixar a atualização do Centro de download da QNAP depois de selecionar o tipo e modelo de produto corretos e aplicá-los manualmente em seus dispositivos.
O comunicado da QNAP não marcou o CVE-2022-27596 como explorado ativamente na natureza.
No entanto, devido à gravidade da falha, recomenda-se que os usuários apliquem as atualizações de segurança disponíveis o mais rápido possível, pois os agentes de ameaças visam ativamente as vulnerabilidades da QNAP.
Os dispositivos QNAP já são alvo de campanhas contínuas de ransomware conhecidas como DeadBolt e eCh0raix , que são conhecidas por abusar de vulnerabilidades para criptografar dados em dispositivos NAS expostos.
