QNAP confirma nova vulnerabilidade grave nos seus sistemas NAS

QNAP confirma nova vulnerabilidade grave nos seus sistemas NAS

Uma nova falha foi descoberta e encontra-se a afetar centenas de dispositivos NAS da QNAP, abrindo portas para atacantes explorarem as mesmas e poderem obter acesso a informações privadas.

De acordo com os investigadores responsáveis pela descoberta, a falha pode permitir que os atacantes injetem código malicioso sobre os dispositivos NAS da QNAP. A falha encontra-se ainda classificada com uma gravidade elevada, de 9.8/10, uma vez que pode ser explorada de forma relativamente simples e sem qualquer interação dos utilizadores.

A empresa já lançou uma atualização para os dispositivos afetados (que se encontram sobre o QTS 5.0.1 e QuTS hero h5.0.1) aconselhando todos os utilizadores a realizarem a atualização o quanto antes. As versões corrigidas serão a QTS 5.0.1.2234 build 20221201 ou mais recente, bem como a QuTS hero h5.0.1.2248 build 20221215 ou mais recente.

Pouco depois de a falha ter sido confirmada pela empresa, os investigadores da empresa de segurança Censys confirmaram que, de 60.000 dispositivos NAS da QNAP vulneráveis ao ataque, apenas 550 teriam atualizado o sistema para a versão mais recente.

Os investigadores acreditam, no entanto, que o número pode ser consideravelmente superior, e que estes dispositivos podem permanecer vulneráveis durante meses, até que os seus utilizadores os atualizem.

Felizmente, tendo em conta que a falha não era conhecida e não existe nenhuma prova de conceito sobre como explorar a mesma, os utilizadores ainda possuem algum tempo para atualizarem os seus sistemas NAS – mas, eventualmente, os ataques devem começar contra estas plataformas.