Tsunami di CVE per QNAP! Aggiornate il vostro NAS, Potrebbe fare il Doppio Gioco!

Redazione RHC : 27 Novembre 2024 07:45

QNAP ha rilasciato aggiornamenti di sicurezza che risolvono una serie di vulnerabilità, incluse tre critiche. Si consiglia vivamente agli utenti di installare patch per evitare rischi.

I problemi che hanno ricevuto maggiore attenzione sono l’applicazione Notes Station 3 utilizzata sui sistemi NAS. La vulnerabilità CVE-2024-38643 con un punteggio CVSS pari a 9,3 consente agli aggressori di ottenere accesso non autorizzato ed eseguire funzioni di sistema senza autorizzazione. Un altro bug, CVE-2024-38645 (CVSS: 9.4), è un problema di falsificazione delle richieste lato server (SSRF) che può portare alla perdita di dati. Questi problemi sono stati risolti nella versione 3.9.7.

Una vulnerabilità critica, CVE-2024-48860 (CVSS 9.5), è stata scoperta nei router QuRouter versione 2.4.x, e consente agli aggressori remoti di eseguire comandi sul sistema. La correzione è disponibile nella versione 2.4.3.106, che risolve anche il bug meno grave CVE-2024-48861 (CVSS: 7.3).

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Notes Station 3 risolve anche le vulnerabilità di command injection e accesso ai dati CVE-2024-38644 (CVSS: 8.7) e CVE-2024-38646 (CVSS: 8.4). Il loro funzionamento richiede un account utente. Gli score rilasciati sono rispettivamente 8,7 e 8,4.

Ulteriori aggiornamenti hanno interessato i prodotti QNAP AI Core, QuLog Center e i sistemi operativi QTS e QuTS Hero. Tra questi ci sono:

• CVE-2024-38647 (CVSS: 7.9): una vulnerabilità relativa alla divulgazione di dati sensibili in QNAP AI Core, che è stata risolta nella versione 3.4.1.
• Il problema di path traversal del file system CVE-2024-48862 (CVSS: 8.7) in QuLog Center che è stato risolto nelle versioni 1.7.0.831 e 1.8.0.888.
• CVE-2024-50396 (CVSS: 7.7) e CVE-2024-50397 (CVSS: 7.7), errori nei formati stringa in QTS e QuTS Hero, risolti nelle versioni 5.2.1.2930 e h5.2.1.2929.

QNAP consiglia di non connettere dispositivi sensibili direttamente a Internet e di utilizzare una VPN per prevenire attacchi remoti.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli