QNAP corrige falha zero-day em software NAS de backup

QNAP

A equipa da QNAP confirmou ter lançado uma atualização para corrigir uma falha zero-day existente nos dispositivos NAS TS-464, que poderia permitir aos atacantes comprometer o sistema e dados no mesmo. Esta falha foi revelada por um grupo de investigadores de segurança durante o evento Pwn2Own Ireland 2024.

A falha encontrava-se associada ao sistema HBS 3 Hybrid Backup Sync, sendo que nas versões 25.1.x poderia permitir a execução de código malicioso remoto, o que poderia ser usado para realizar ataques diretos contra os dispositivos. Esta aplicação é o software dedicado da empresa para o backup e sincronização de dados nos seus dispositivos, e embora a falha tenha sido demonstrada no TS-464, pode afetar outros modelos.

A correção da falha foi lançada na HBS 3 Hybrid Backup Sync 25.1.1.673 ou mais recente. Os administradores de sistemas NAS são aconselhados a atualizarem os mesmos o mais rapidamente possível, para garantir que a falha não pode ser ativamente explorada.

Esta falha foi corrigida cerca de cinco dias depois dos investigadores Ha The Long e Ha Anh Hoang terem revelado a mesma durante o evento Pwn2Own Ireland 2024. Isto embora a empresa ainda tenha cerca de 90 dias para lançar a correção – tendo em conta a divulgação responsável de falhas.