QNAP corrige falha zero-day em software NAS de backup
A equipa da QNAP confirmou ter lançado uma atualização para corrigir uma falha zero-day existente nos dispositivos NAS TS-464, que poderia permitir aos atacantes comprometer o sistema e dados no mesmo. Esta falha foi revelada por um grupo de investigadores de segurança durante o evento Pwn2Own Ireland 2024.
A falha encontrava-se associada ao sistema HBS 3 Hybrid Backup Sync, sendo que nas versões 25.1.x poderia permitir a execução de código malicioso remoto, o que poderia ser usado para realizar ataques diretos contra os dispositivos. Esta aplicação é o software dedicado da empresa para o backup e sincronização de dados nos seus dispositivos, e embora a falha tenha sido demonstrada no TS-464, pode afetar outros modelos.
A correção da falha foi lançada na HBS 3 Hybrid Backup Sync 25.1.1.673 ou mais recente. Os administradores de sistemas NAS são aconselhados a atualizarem os mesmos o mais rapidamente possível, para garantir que a falha não pode ser ativamente explorada.
Esta falha foi corrigida cerca de cinco dias depois dos investigadores Ha The Long e Ha Anh Hoang terem revelado a mesma durante o evento Pwn2Own Ireland 2024. Isto embora a empresa ainda tenha cerca de 90 dias para lançar a correção – tendo em conta a divulgação responsável de falhas.