Duas falhas críticas de injeção de comando do sistema operacional foram descobertas em vários produtos QNAP, que incluem QTS, console multimídia, complemento de streaming de mídia, QuTS Hero e QuTScloud.
Essas vulnerabilidades existiam no sistema operacional QTS e em aplicativos em dispositivos de armazenamento conectado à rede (NAS), que são usados para armazenar muitos dados confidenciais.
Conseqüentemente, uma falha de injeção de comando em um dispositivo NAS pode levar ao vazamento de várias informações confidenciais, que os agentes de ameaças podem usar para muitos fins maliciosos, incluindo pedidos de resgate.
Os CVEs para essas vulnerabilidades foram atribuídos como CVE-2023-23368 e CVE-2023-23369, com gravidades de 9.0 (crítico) e 9.8 (Crítico), respectivamente. No entanto, a QNAP lançou avisos de segurança para corrigir essas vulnerabilidades.
CVE-2023-23368: Vulnerabilidade de injeção de comando do sistema operacional
Esta vulnerabilidade existe em várias versões do sistema operacional QNAP, que os agentes de ameaças podem explorar para executar comandos através de uma rede. A gravidade desta vulnerabilidade foi dada como 9.0 (Crítico).
C-2023-23369: Vulnerabilidade de injeção de comando do sistema operacional
Esta vulnerabilidade existe em vários sistemas operacionais e versões de aplicativos da QNAP, o que pode permitir que os agentes da ameaça executem comandos remotos nas versões afetadas. A gravidade desta vulnerabilidade foi dada como 9.8 (Crítico).
Leia também: 12 melhores ferramentas de gerenciamento de vulnerabilidades 2023
Produtos afetados e versão corrigida
| ID do CVE | Produto afetado | Versão Fixa |
| CVE-2023-23368 | QTS 5.0.xQTS 4.5.xQuTS herói h5.0.xQuTS herói h4.5.xQuTScloud c5.0.x | QTS 5.0.1.2376 build 20230421 e posteriorQTS 4.5.4.2374 build 20230416 e posteriorQuTS hero h5.0.1.2376 build 20230421 e posteriorQuTS hero h4.5.4.2374 build 20230417 e posteriorQuTScloud c5.0.1.2374 e posterior |
| CVE-2023-23369 | QTS 5.1.xQTS 4.3.6QTS 4.3.4QTS 4.3.3QTS 4.2.xConsole Multimídia 2.1.xConsole Multimídia 1.4Complemento .xMedia Streaming 500.1Complemento .xMedia Streaming 500.0.x | QTS 5.1.0.2399 build 20230515 e posteriorQTS 4.3.6.2441 build 20230621 e posteriorQTS 4.3.4.2451 build 20230621 e posteriorQTS 4.3.3.2420 build 20230621 e posteriorQTS 4.2.6 build 20230621 e posteriorConsole multimídia 2.1.2 (2023/05/04) e posteriorConsole multimídia 1.4.8 (2023/05/05) e posterior complemento Media Streaming 500.1.1.2 (2023/06/12) e posterior complemento Media Streaming 500.0.0.11 (2023/06/16) e posterior |
Documento
Como atualizar?
- 1. Faça login nas versões afetadas como administrador
- 2. Vá para Painel de Controle > Sistema > Atualização de Firmware
- 3. Em Live Update, clique em Verificar atualizações
Para atualizar o console multimídia,
- 1. Faça logon no QTS como administrador.
- 2. Abra o App Center e clique em .
- 3. Dentro da caixa de pesquisa aparece Digite “Console Multimídia” e pressione ENTER.
- 4. No console multimídia, clique em Atualizar.
- 5. Após a atualização, clique em OK.
Para atualizar o complemento de streaming de mídia,
- 1. Faça logon no QTS como administrador.
- 2. Abra o Centro de Aplicativos
- 3. Dentro da caixa de pesquisa, digite “Complemento de streaming de mídia” e pressione ENTER.
- 4. No console do complemento Media Streaming, clique em Atualizar.
- 5. Após a atualização, clique em OK.
No entanto, o botão Atualizar não estará disponível se a sua versão já estiver atualizada.
Para obter mais informações, a QNAP também lançado etapas para corrigir essas vulnerabilidades. Recomenda-se que os usuários desses produtos atualizem para as versões mais recentes desses produtos para evitar que essas vulnerabilidades sejam exploradas.
