O conhecido fabricante de NAS QNAP relata duas vulnerabilidades altamente perigosas em seus produtos de rede e outra vulnerabilidade em seu cliente de dispositivo VPN para Windows. Um ataque remoto é possível através das lacunas - patches adequados estão disponíveis.
As vulnerabilidades anunciadas pela QNAP afetam muitos aplicativos usados nos produtos de rede. Os serviços também operam e funcionam em grandes sistemas NAS para o setor de PME. Portanto, além de câmeras ou sistemas NAS menores e de uso privado, muitos produtos da empresa também são afetados pelas falhas de segurança.
Possível aquisição remota para ataque DoS
A QNAP relata que uma vulnerabilidade relacionada ao consumo descontrolado de recursos afeta vários sistemas operacionais da QNAP. Se a vulnerabilidade for explorada, os usuários remotos podem iniciar um ataque de negação de serviço (DoS). A vulnerabilidade está listada como CVE-2022-27600. O valor CVSS exato não é conhecido, mas deve estar na faixa de 7.0 a 8.9 para Altamente Perigoso.
A vulnerabilidade já foi corrigida nas seguintes versões que estão disponíveis para atualização:
- QTS 5.0.1.2277 Build 20230112 e posterior
- QTS 4.5.4.2280 Build 20230112 e posterior
- QuTS hero h5.0.1.2277 compilação 20230112 e posterior
- QuTS hero h4.5.4.2374 compilação 20230417 e posterior
- QuTScloud c5.0.1.2374 compilação 20230419 e posterior
- Dispositivo QVR Pro 2.3.1.0476 e posterior
Outra vulnerabilidade no QVPN Device Client
Além disso, a QNAP relata uma vulnerabilidade em seu QVPN Device Client para Windows. A vulnerabilidade também é considerada altamente perigosa sob CVE-2022-27595. Lá, o carregamento de bibliotecas é inseguro e pode afetar os dispositivos que executam o QVPN Device Client para Windows. Se explorada, esta vulnerabilidade pode permitir que usuários autenticados localmente executem código carregando a biblioteca de forma insegura. O QVPN Device Client para macOS, Android e iOS não é afetado pela vulnerabilidade.
Uma atualização também está disponível para esta lacuna:
QVPN Device Client para Windows, versão 2.0.0.1316 e superior
Mais em QNAP.com