Redazione RHC : 12 Dicembre 2024 15:43
L’azienda taiwanese Qnap Systems ha rilasciato patch per diverse vulnerabilità in QTS e QuTS Hero. In precedenza, questi problemi erano stati scoperti e dimostrati nell’ambito della competizione hacker Pwn2Own Ireland, tenutasi nell’autunno del 2024.
I partecipanti a Pwn2Own hanno guadagnato decine di migliaia di dollari dagli exploit dei prodotti Qnap e uno degli attacchi ha fruttato agli specialisti addirittura 100.000 dollari (anche se ha coinvolto non solo bug nei dispositivi Qnap, ma anche TrueNAS).
Il problema più grave ora risolto è CVE-2024-50393 (punteggio CVSS 8,7). Ha consentito di eseguire comandi remoti arbitrari su dispositivi vulnerabili.
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Un’altra vulnerabilità, CVE-2024-48868 (punteggio CVSS 8.7), è un’iniezione CRLF che potrebbe essere utilizzata per modificare i dati dell’applicazione. Il problema dello sfruttamento era dovuto al fatto che speciali elementi CRLF sono incorporati nel codice, come le intestazioni HTTP, per indicare i marcatori EOL.
Gli sviluppatori Qnap hanno corretto questi errori come parte di QTS 5.1.9.2954 build 20241120, QTS 5.2.2.2950 build 20241114, QuTS Hero h5.1.9.2954 build 20241120 e QuTS Hero h5.2.2.2952 build 20241116.
Inoltre, gli ultimi aggiornamenti risolvono il bug CVE-2024-48865 (punteggio CVSS 7.3), un problema con la verifica errata del certificato che consentiva agli aggressori sulla rete locale di compromettere la sicurezza del sistema.
Sono state inoltre risolte una serie di vulnerabilità minori relative all’autenticazione errata e all’iniezione CRLF, nonché problemi relativi alla codifica esadecimale e alla stringa di formato.
Vale la pena notare che lo scorso fine settimana gli specialisti Qnap hanno annunciato separatamente l’eliminazione di un altro errore pericoloso scoperto nel Centro licenze. CVE-2024-48863 (punteggio CVSS 7,7) che potrebbe consentire agli aggressori remoti di eseguire comandi arbitrari su dispositivi vulnerabili. Una correzione per questo bug è stata inclusa in Qnap License Center 1.9.43.
GhostSec, noto collettivo di hacktivisti, ha recentemente rivelato dettagli su un’operazione controversa che coinvolge un’azienda italiana e obiettivi governativi macedoni. In un’...
Negli ultimi giorni, su due noti forum underground specializzati nella compravendita di dati trafugati e metodi fraudolenti, sono comparsi dei post separati (ma identici nel contenuto), riguardanti un...
E se le intelligenze artificiali producessero del codice vulnerabile oppure utilizzassero librerie e costrutti contenenti bug vecchi mai sanati? Si tratta di allucinazione o apprendimento errato? Una ...
Anche questa mattina, gli hacker di NoName057(16) procedono a sferrare attacchi DDoS contro diversi obiettivi italiani. Nell’ultimo periodo, Telegram ha intensificato la sua azione co...
Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006