QNAP corrige bug crítico que permite injeção de código malicioso

A QNAP está alertando os clientes para instalar atualizações de firmware QTS e QuTS que corrigem uma vulnerabilidade de segurança crítica que permite que invasores remotos injetem código malicioso em dispositivos QNAP NAS.

A vulnerabilidade é rastreada como CVE-2022-27596 e classificada pela empresa como ‘Crítica’ (pontuação CVSS v3: 9,8), afetando as versões QTS 5.0.1 e QuTS hero h5.0.1 do sistema operacional.

“Uma vulnerabilidade foi relatada para afetar dispositivos QNAP executando QTS 5.0.1 e QuTS hero h5.0.1. Se explorada, esta vulnerabilidade permite que atacantes remotos injetem código malicioso”, alerta o comunicado de segurança QNAP .

O fornecedor não divulgou muitos detalhes sobre a vulnerabilidade ou seu potencial de exploração, mas  o portal NIST a  descreve como uma falha de injeção de SQL.

As falhas de injeção SQL permitem que os invasores enviem solicitações especialmente criadas em dispositivos vulneráveis ​​para modificar consultas SQL legítimas para executar um comportamento inesperado.

Além disso, a QNAP lançou um arquivo JSON descrevendo a gravidade da vulnerabilidade, o que indica que ela pode ser explorada em ataques de baixa complexidade por invasores remotos, sem exigir interação do usuário ou privilégios no dispositivo de destino.

A QNAP diz que os dispositivos dos usuários rodando em QTS e QuTS hero devem atualizar para as seguintes versões para permanecerem seguros:

  • QTS 5.0.1.2234 compilação 20221201 e posterior
  • QuTS hero h5.0.1.2248 compilação 20221215 e posterior

Para realizar a atualização, os clientes podem fazer login em seus dispositivos como usuário administrador e ir para ” Painel de controle → Sistema → Atualização de firmware “.

Na seção ” Atualização ao vivo “, clique na opção ” Verificar atualização ” e aguarde a conclusão do download e da instalação.

Como alternativa, os usuários da QNAP podem baixar a atualização do  Centro de download da QNAP  depois de selecionar o tipo e modelo de produto corretos e aplicá-los manualmente em seus dispositivos.

O comunicado da QNAP  não marcou o CVE-2022-27596 como explorado ativamente na natureza.

No entanto, devido à gravidade da falha, recomenda-se que os usuários apliquem as atualizações de segurança disponíveis o mais rápido possível, pois os agentes de ameaças visam ativamente as vulnerabilidades da QNAP.

Os dispositivos QNAP já são alvo de campanhas contínuas de ransomware conhecidas como  DeadBolt  e  eCh0raix , que são  conhecidas por abusar de vulnerabilidades  para criptografar dados em dispositivos NAS expostos.

Fonte: https://www.bleepingcomputer.com/