QNAP divulga correções para vulnerabilidades críticas em dispositivos NAS

A QNAP Systems publicou alertas de segurança para duas vulnerabilidades críticas de injeção de comando que impactam múltiplas versões do sistema operacional QTS e aplicativos em seus dispositivos de armazenamento conectados à rede (NAS).

A primeira falha, rastreada como CVE-2023-23368, tem classificação de severidade crítica 9,8 de 10 no CVSS e permite a execução remota de comandos via rede. As versões afetadas do QTS são 5.0.x, 4.5.x, QuTS hero h5.0.x, h4.5.x e QuTScloud c5.0.1.

Atualizações estão disponíveis nas seguintes versões:

• QTS 5.0.1.2376 build 20230421 e superior
• QTS 4.5.4.2374 build 20230416 e superior
• QuTS hero h5.0.1.2376 build 20230421 e superior
• QuTS hero h4.5.4.2374 build 20230417 e superior
• QuTScloud c5.0.1.2374 e superior

A segunda vulnerabilidade, identificada como CVE-2023-23369, tem severidade 9,0 e também pode ser explorada remotamente. Afeta as versões QTS 5.1.x, 4.3.6, 4.3.4, 4.3.3, 4.2.x, Multimedia Console 2.1.x, 1.4.x e add-on Media Streaming 500.1.x e 500.0.x.

Correções estão disponíveis em:

• QTS 5.1.0.2399 build 20230515 e superior
• QTS 4.3.6.2441 build 20230621 e superior
• QTS 4.3.4.2451 build 20230621 e superior
• QTS 4.3.3.2420 build 20230621 e superior
• QTS 4.2.6 build 20230621 e superior
• Multimedia Console 2.1.2 (2023/05/04) e superior
• Multimedia Console 1.4.8 (2023/05/05) e superior
• Media Streaming add-on 500.1.1.2 (2023/06/12) e superior
• Media Streaming add-on 500.0.0.11 (2023/06/16) e superior

Como corrigir a CVE-2023-23368?

Atualizando o QTS, QuTS hero ou QuTScloud

1. Faça login no QTS, QuTS hero ou QuTScloud como administrador.
2. Acesse o Painel de Controle > Sistema > Atualização de Firmware.
3. Em Atualização Automática, clique em Verificar Atualizações. O sistema baixa e instala a atualização mais recente disponível.

Dica: Você também pode baixar a atualização no site da QNAP. Acesse Suporte > Central de Downloads e depois faça a atualização manual específica para o seu dispositivo.

Como corrigir a CVE-2023-23369?

Atualizando o QTS

1. Faça login no QTS como administrador.
2. Acesse o Painel de Controle > Sistema > Atualização de Firmware.
3. Em Atualização Automática, clique em Verificar Atualizações. O sistema baixa e instala a atualização mais recente disponível.

Dica: Você também pode baixar a atualização no site da QNAP. Acesse Suporte > Central de Downloads e depois faça a atualização manual específica para o seu dispositivo.

Atualizando o Multimedia Console

1. Faça login no QTS como administrador.
2. Abra o App Center e clique no ícone de busca.
3. Digite "Multimedia Console" e pressione Enter. O Multimedia Console aparecerá nos resultados da busca.
4. Clique em Atualizar. Uma mensagem de confirmação aparecerá. Nota: O botão Atualizar não estará disponível se a versão já estiver atualizada.
5. Clique em OK. O aplicativo será atualizado.

Atualizando o add-on Media Streaming

1. Faça login no QTS como administrador.
2. Abra o App Center e clique no ícone de busca.
3. Digite "Media Streaming add-on" e pressione Enter. O add-on aparecerá nos resultados da busca.
4. Clique em Atualizar. Uma mensagem de confirmação aparecerá. Nota: O botão Atualizar não estará disponível se a versão já estiver atualizada.
5. Clique em OK. O aplicativo será atualizado.

Conclusão

Como dispositivos NAS geralmente armazenam dados críticos, falhas de injeção de comando são sérias, pois podem permitir roubo ou criptografia de dados por invasores, que depois cobram resgate das vítimas. Portanto, é vital aplicar essas atualizações urgentes para mitigar riscos.

Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui