.png)
.png)
.png)
.png)
.
Atualizado A fabricante taiwanesa de NAS QNAP corrigiu 24 vulnerabilidades em vários produtos no fim de semana.
As falhas incluem duas vulnerabilidades críticas e nove vulnerabilidades de gravidade “alta”, resultando potencialmente em execução de código, leitura/gravação de arquivos, desvio de autenticação, divulgação de informações e elevação de privilégios.
O Notes Station 3 da QNAP (versões 3.9.x), um aplicativo colaborativo de anotações e compartilhamento, foi indiscutivelmente o mais afetado, com bugs críticos localizados no produto, bem como dois outros problemas de alta gravidade.
Uma série de outros produtos QNAP também estavam entre os afetados pelas falhas, incluindo Photo Station, AI Core, QuLog Center, QuRouter, Media Streaming Add-on, QTS e QuTS hero.
A série anterior de versões de sistemas operacionais para QTS e QuTS hero – os sistemas operacionais para dispositivos NAS de nível básico e médio e dispositivos de nível empresarial e de ponta – também parecem ser vulneráveis a falhas mais antigas do OpenSSH.
Tanto o QTS (5.1.x) quanto o QuTS hero (h5.1.x) foram considerados vulneráveis a CVE-2023-38408, CVE-2021-41617 e CVE-2020-14145. Se a atualização para a série 5.2 não for uma opção, existem algumas correções disponíveis para a série 5.1, de acordo com o comunicado do fornecedor.
Os patches foram lançados em 23 de novembro, um sábado, mas temos certeza de que isso não foi para garantir que eles passassem despercebidos. Independentemente disso, perguntamos à QNAP por que ela decidiu divulgar todos eles no sábado e atualizaremos o artigo se ele responder.
O fornecedor foi forçado a obter uma atualização de firmware QTS na semana passada, após uma enxurrada de relatos de usuários de que seus dispositivos NAS, uma vez atualizados, sofreram vários problemas de funcionamento.
Costumes da QNAP O Registro: “Lançamos recentemente a atualização do sistema operacional QTS 5.2.2.2950 build 20241114 e recebemos feedback de alguns usuários relatando problemas com a funcionalidade do dispositivo após a instalação.
“Em resposta, a QNAP retirou imediatamente a atualização do sistema operacional, conduziu uma investigação abrangente e relançou uma versão estável do QTS 5.2.2.2950 build 20241114 em 24 horas.”
Patches em ritmo de caracol da Veritas
Sobre o tema divulgações de fim de semana, uma série de CVEs foram publicados pelo National Vulnerability Database em 24 de novembro, um domingo, sobre bugs divulgados anteriormente pela empresa de gerenciamento de dados corporativos Veritas.
Cada uma das sete vulnerabilidades recebeu uma classificação preliminar de gravidade de 9,8 (crítica) pelo MITRE usando o sistema CVSSv3 e todas elas afetam o Veritas Enterprise Vault, a plataforma de arquivamento de e-mail e retenção de dados corporativos da empresa.
Os CVE são:
Todos foram relatados ao fornecedor em julho pela pesquisadora Sina Kheirkhah, por meio da Zero-Day Initiative (ZDI). O prazo de 21 de novembro para corrigir os problemas aplicados a todas as vulnerabilidades – um prazo que já expirou.
A Veritas divulgou originalmente os bugs – sem CVEs – em 15 de novembro, junto com uma mitigação. Ela disse que planeja corrigir todos eles na versão 15.2 da plataforma, cuja disponibilidade geral está prevista para o terceiro trimestre de 2025.
Quanto ao motivo pelo qual o patch levará tanto tempo, não temos ideia. Pedimos respostas ao fornecedor e ele prometeu entregá-las rapidamente.
O que sabemos é que todas as vulnerabilidades estão relacionadas à forma como o produto lida com a desserialização de dados não confiáveis enviados por uma porta TCP do .NET Remoting.
“Na inicialização, o aplicativo Enterprise Vault inicia vários serviços que escutam em portas TCP .NET Remoting aleatórias para possíveis comandos de aplicativos clientes”, diz o comunicado da Veritas.
“Essas portas TCP podem ser exploradas devido a vulnerabilidades inerentes ao serviço .NET Remoting. Um invasor mal-intencionado pode explorar serviços de comunicação remota TCP e serviços IPC locais no servidor Enterprise Vault.”
A exploração bem-sucedida pode levar à execução de código que, por sua vez, pode levar um invasor a assumir