A fabricante de dispositivos NAS QNAP lançou atualizações de software para seus produtos de armazenamento conectado à rede (NAS) na sexta-feira. Embora este pacote de software atualizado se concentre em corrigir várias falhas de segurança. Todas essas falhas podem permitir que os agentes da ameaça obtenham acesso e roubem dados confidenciais.
Entre todas as vulnerabilidades detectadas, existe uma que pode permitir que os agentes da ameaça assumam o controle de um sistema comprometido e é rastreada como “CVE-2022-27588” com uma pontuação CVSS de 9.8.
Enquanto o QVR 5.1.6 Diz-se que o build 20220401 e versões posteriores corrigiram essa vulnerabilidade. No caso de exploração desta vulnerabilidade grave, um invasor remoto seria capaz de executar comandos arbitrários em um sistema QVR vulnerável.
Entre as soluções de videovigilância que a QNAP oferece, o QVR é uma delas. QVR é um sistema de vigilância por vídeo executado em dispositivos QNAP e não depende de nenhum software adicional.
Falhas detectadas
No total, os especialistas em segurança cibernética detectaram 9 vulnerabilidades e aqui abaixo listamos todas elas: –
- ID do CVE: CVE-2022-27588
- Pontuação CVSS: 9.8
- Resumo: Foi relatada uma vulnerabilidade que afeta o QNAP VS Series NVR executando o QVR. Se explorada, esta vulnerabilidade permite que invasores remotos executem comandos arbitrários.
- ID CVE: CVE-2021-44051
- Pontuação CVSS: 8.8
- Resumo: Uma vulnerabilidade de injeção de comando em dispositivos QNAP que executam QTS, QuTS hero e QuTScloud, resultando na execução arbitrária de comandos.
- ID do CVE: CVE-2021-38693
- Pontuação CVSS: 5.3
- Resumo: Uma vulnerabilidade de passagem de caminho no thttpd que afeta dispositivos QNAP que executam QTS, QuTS hero, QuTScloud e QVR Pro Appliance, levando à divulgação de informações.
- ID do CVE: CVE-2021-44052
- Pontuação CVSS: 6.5
- Resumo: Uma vulnerabilidade de resolução de link inadequada antes do acesso ao arquivo (“link follow”) em dispositivos QNAP que executam QTS, QuTS hero e QuTScloud, permitindo que invasores leiam/escrevam arquivos em locais arbitrários.
- ID do CVE: CVE-2021-44053
- Pontuação CVSS: 5.7
- Resumo: Uma vulnerabilidade de cross-site scripting (XSS) em dispositivos QNAP que executam QTS, QuTS hero e QuTScloud, levando à injeção de código.
- ID do CVE: CVE-2021-44054
- Pontuação CVSS: 4.3
- Resumo: Uma vulnerabilidade de redirecionamento aberto em dispositivos QNAP que executam QTS, QuTS hero e QuTScloud, tornando possível redirecionar usuários para páginas da web não autorizadas.
- ID CVE: CVE-2021-44055
- Pontuação CVSS: 5.3
- Resumo: Uma vulnerabilidade de autorização ausente em dispositivos QNAP que executam o Video Station, permitindo que invasores acessem dados ou executem ações não autorizadas.
- ID CVE: CVE-2021-44056
- Pontuação CVSS: 7.1
- Resumo: Uma vulnerabilidade de autenticação inadequada em dispositivos QNAP que executam o Video Station, levando ao comprometimento do sistema.
- ID do CVE: CVE-2021-44057
- Pontuação CVSS: 7.1
- Resumo: Uma vulnerabilidade de autenticação inadequada em dispositivos QNAP que executam o Photo Station, levando ao comprometimento do sistema.
Embora o comunicado publicado pela QNAP afirme claramente:-
“Foi relatado que uma vulnerabilidade afeta o QNAP VS Series NVR executando o QVR. Se explorada, esta vulnerabilidade permite que invasores remotos executem comandos arbitrários.”
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
