A sinologia alerta sobre os erros críticos do Netatalk em vários produtos

A Synology alertou os clientes que alguns de seus dispositivos Network Attached Storage (NAS) estão expostos a ataques que exploram várias vulnerabilidades críticas do Netatalk.

"Várias vulnerabilidades permitem que invasores remotos obtenham informações confidenciais e possivelmente executem código arbitrário por meio de uma versão suscetível do Synology DiskStation Manager (DSM) e do Synology Router Manager (SRM)", disse a Synology.

Netatalk é uma implementação de AFP (abreviação de Apple Filing Protocol) de código aberto que permite que sistemas executando *NIX/*BSD atuem como AppleShare File Servers (AFP) para clientes macOS (ou seja, para acessar arquivos armazenados em dispositivos Apple). Synology NAS).

A equipe de desenvolvimento da Netatalk abordou os bugs de segurança na versão 3.1.1, lançada em 22 de março, três meses após a competição de hackers Pwn2Own 2021, onde eles foram divulgados e explorados pela primeira vez.

índice

  1. Patches chegando em 90 dias
  2. A QNAP também está trabalhando em patches do Netatalk

Patches chegando em 90 dias

A falha de segurança (registrada como CVE-2022-23121 e classificada com uma pontuação de gravidade de 9,8/10) foi explorada pela equipe EDG do NCC Group para obter execução remota de código não autenticado em um NAS Western Digital PR4100 executando o firmware NCC Group. My Cloud OS durante o concurso Pwn2Own.

A Synology destacou três outros bugs no comunicado de hoje (ou seja, CVE-2022-23125, CVE-2022-23122, CVE-2022-0194) que também receberam classificações de gravidade idênticas.

Eles também estão permitindo que invasores não autenticados executem remotamente códigos arbitrários em dispositivos sem patches.

Embora a equipe de desenvolvimento da Netatalk tenha lançado patches de segurança para corrigir as falhas no mês passado, a Synology diz que os lançamentos de alguns dos produtos afetados ainda estão "em andamento".

Embora o fabricante do NAS não forneça um cronograma estimado para essas atualizações recebidas, a Synology disse à BleepingComputer no ano passado que geralmente emite patches para o software afetado dentro de 90 dias após a publicação dos avisos.

A empresa também acrescentou que as vulnerabilidades do Netatalk foram corrigidas para dispositivos que executam o DiskStation Manager (DSM) 7.1 ou posterior.

produtos Gravidade Disponibilidade da versão fixa
DSM 7.1 crítico Atualize para 7.1-42661-1 ou superior.
DSM 7.0 Crítico No curso
DSM 6.2 crítico No curso
VS Firmware 2.3 Crítico No curso
SRM 1.2 Crítico No curso

A QNAP também está trabalhando em patches do Netatalk

No início desta semana, a QNAP, outro fabricante de NAS de Taiwan, pediu a seus clientes que desativem o protocolo de serviço de arquivos AFP de seus dispositivos NAS até que ele corrija as falhas críticas de segurança do Netatalk.

A QNAP disse que as vulnerabilidades do Netatalk afetam várias versões do sistema operacional QTS e do QuTS hero e do QuTScloud, o sistema operacional NAS otimizado para nuvem da empresa.

Assim como a Synology, a QNAP já lançou patches para uma das versões do sistema operacional afetadas, com correções já disponíveis para dispositivos que executam o QTS 4.5.4.2012 build 20220419 e posterior.

"A QNAP está investigando minuciosamente o caso. Vamos lançar atualizações de segurança para todas as versões do QNAP OS afetadas e fornecer mais informações o mais rápido possível", disse o fabricante do NAS.

"Encorajamos os usuários a verificar e instalar as atualizações de segurança assim que estiverem disponíveis."

  • Antes de comprar o Snapchat Selfie Drone, verifique as especificações
  • O Apple Watch não está se conectando ao seu telefone? aqui está a solução

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Tradução do inglês – Netatalk é uma implementação gratuita e de código aberto do Apple File Protocol. Ele permite que sistemas operacionais do tipo Unix sirvam como um servidor de arquivos para computadores Macintosh.

Ir arriba