2024/03/09

QNAP vulnerável a comandos remotos não autenticados

A QNAP está a alertar para novas vulnerabilidades que permitem que atacantes acedam aos equipamentos e serviços dos clientes, incluindo o QTS, QuTS hero, QuTScloud, e myQNAPcloud.

Os NAS são dos alvos preferidos para atacantes, dando acesso directo aos dados mais importantes (que justificam terem sido guardados num NAS), e empresas como a QNAP já têm por hábito terem que lidar com vulnerabilidades que vão sendo descobertas regularmente.

Desta vez trata-se de três vulnerabilidades, com uma delas a ser de execução fácil e a permitir a execução de comandos remotos dispensando autenticação:
  • CVE-2024-21899: Permite que utilizadores não autorizados executem comandos remotamente sem autenticação.
  • CVE-2024-21900: Permite a execução de comandos indevidos por utilizadores autenticados.
  • CVE-2024-21901: Permite a injecção de comandos SQL maliciosos por administradores autenticados, podendo levar à perda ou manipulação de dados.
As vulnerabilidades afectam múltiplas versões dos produtos QNAP, incluindo o QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x, e myQNAPcloud 1.0.x, sendo recomendado que façam a actualização imediata para as seguintes versões:
  • QTS 5.1.3.2578 build 20231110 ou mais recente
  • QTS 4.5.4.2627 build 20231225 ou mais recente
  • QuTS hero h5.1.3.2578 build 20231110 ou mais recente
  • QuTS hero h4.5.4.2626 build 20231225 ou mais recente
  • QuTScloud c5.1.5.2651 ou mais recente
  • myQNAPcloud 1.0.52 (2023/11/24) ou mais recente
Para o QTS, QuTS hero, e QuTScloud, os utilizadores terão que fazer o login como administradores, ir até "Control Panel > System > Firmware Update" e fazer "Check for Update" para procurar e aplicar as actualizações.
Para o myQNAPcloud, fazer login como admin, ir a "App Center" pesquisar por "myQNAPcloud", e clicar em "Update".

Como referido, tendo em conta o facto de serem alvos apetecíveis e potencialmente com terabytes de dados importantes, será importante fazer estas actualizações quanto antes. Adicionalmente, excepto em casos de importância crítica, considerar manter estes dispositivos apenas com acesso local, para reduzir o grau de risco de exposição a ataques vindos da internet (já chegará a preocupação com ataques internos no caso dos atacantes conseguirem controlar uma máquina na mesma rede).

Publicado por Carlos Martins às 21:00


5 comentários:

  1. David10/3/24 09:01

    O ideal é ter um router com VPN, e aceder à rede local por VPN e depois aí sim aceder ao NAS. Colocar o NAS ao público com DDNS não é nada aconselhável.

    ResponderEliminar
  2. Jorge Sousa10/3/24 11:27

    Errado. Nem todos temos routers com VPN. Mais vale ter um router com uma boa firewall ou usar NAS que não tenham tantas vulnerabilidades com os há (Synology, por ex). E contra as VPN há imensos serviços que não correm sobre VPN's mas sim e apenas por DDNS. Preciso é ter uma boa firewall na entrada da rede, por exemplo com geobloqueio (por ex, routers Synology outra vez, mas não só). A QNAP já nos habituou a imensas vulnerabilidades.

    ResponderEliminar
    Respostas
    1. David10/3/24 13:42

      Pode ser assim, mas no entanto paga-se muito mais por um produto da Synology, nem todos estão dispostos a pagar o custo extra.

      Eliminar
    2. Jorge Sousa10/3/24 19:48

      Paga-se mais? Têm praticamente os mesmos preços e a Synology oferece muito mais serviços. Não conhece os preços dos Synology com toda a certeza.

      Eliminar
    3. Mario12/3/24 18:47

      Muito boa resposta. Tenho Synology em casa. Nunca na vida comprava uma QNAP. Tem mais buracos que um queijo suíço.😁

      Eliminar

Subscrever: Enviar feedback (Atom)