Vulnerabilidades foram descobertas em vários sistemas operacionais para hardware QNAP que afetam aproximadamente 80.000 dispositivos em todo o mundo. Há brechas no software do QTS, QuTS hero, QuTScloud e QVP, e sua exploração pode levar, entre outras coisas, à execução de código arbitrário no sistema da vítima.
Os bugs foram identificados por especialistas da Sternum. Os problemas estão relacionados à violação dos direitos de acesso à memória. No caso de um ataque bem-sucedido, os invasores podem afetar a estabilidade do equipamento ou provocar um comportamento imprevisível do dispositivo. O boletim de segurança QNAP também fala sobre a capacidade de extrair “valores secretos”.
Fonte da imagem: pixabay.com
As vulnerabilidades foram indexadas CVE-2022-27597 e CVE-2022-27598. Eles são corrigidos no QTS versão 5.0.1.2346 (compilação 20230322 e posterior) e QuTS hero versão h5.0.1.2348 (compilação 20230324 e posterior). As atualizações para os sistemas operacionais QuTScloud e QVP ainda não foram lançadas, mas a QNAP diz que está resolvendo os problemas com urgência.
Também é notado que os buracos não são muito perigosos. Além disso, casos de sua operação prática ainda não foram registrados. Por outro lado, dizem os especialistas em segurança, os dispositivos QNAP, como muitos outros equipamentos de IoT, geralmente são mal configurados, deixados atrás de firewalls e nunca atualizados. Isso cria riscos adicionais para as organizações.