Nova vulnerabilidade no QNAP NAS – os usuários precisam atualizar o sistema com urgência

O fabricante de armazenamento de rede QNAP anunciou a descoberta de outra vulnerabilidade em sua plataforma de software e recomendou aos proprietários de dispositivos que atualizem urgentemente o software. Vale ressaltar que o erro foi encontrado não nos módulos da própria QNAP, mas nos módulos do PHP, linguagem de programação para aplicações web.

Fonte da imagem: qnap.com

A vulnerabilidade afetou as ramificações do PHP 7.1.x a 7.1.33, 7.2.x a 7.2.24 e 7.3.x a 7.3.11, em combinação com um servidor nginx configurado incorretamente que pode ser usado para executar a interface da web de armazenamento de rede da QNAP . Para explorar a vulnerabilidade, você precisa executar o nginx junto com o serviço PHP-FPM, um dos métodos de implantação PHP mais eficientes. Note-se que nginx não é o servidor web padrão em sistemas QNAP.

De acordo com o fabricante, as seguintes versões da plataforma de software proprietário são vulneráveis ​​a vulnerabilidades:

• QTS 5.0.x;
• QTS 4.5.x;
• Herói do QuTS h5.0.x;
• Herói do QuTS h4.5.x;
• QuTScloud c5.0.x.

Até agora, as atualizações do QTS 5.0.xe do QuTS hero h5.0.x já foram lançadas – o trabalho no resto ainda está em andamento. As versões do QTS 5.0.1.2034 build 20220515 e posterior, bem como o QuTS hero h5.0.0.2069 build 20220614 e posterior são consideradas seguras.