A QNAP aconselhou urgentemente os usuários e lançou patches para sete dias zero Vulnerabilidades explorados durante a competição Pwn2Own Ireland 2025, afetando seus dispositivos NAS. Esses patches abordam falhas críticas nos principais sistemas operacionais e aplicativos principais, como ferramentas de backup e remoção de malware.
As principais equipes de pesquisa de segurança, incluindo Summoning Team, DEVCORE, Team DDOS e um estagiário da CyCraft, apresentaram seu sucesso Explora em Pwn2Own.
As vulnerabilidades no sistema QNAP representam um sério risco para os dados do usuário em dispositivos NAS. Foram lançados patches para os principais sistemas operacionais, QTS e QuTS hero, juntamente com os principais aplicativos.
1. Principais sistemas operacionais: QTS e QuTS hero
Várias vulnerabilidades (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849) nos sistemas operacionais da QNAP foram descobertas. Embora as pontuações oficiais do CVSS não estejam listadas, o status de dia zero e o contexto de uma exploração Pwn2Own indicam um alto risco para execução remota de código e comprometimento de dados.
2. Aplicativos de backup e proteção de dados
Dois aplicativos principais projetados para proteger dados foram considerados vulneráveis:
O HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842) tem várias vulnerabilidades críticas que foram corrigidas. Como essa ferramenta gerencia rotinas de backup, os invasores podem acessar históricos de segurança.l dados e backups remotos se estiver comprometido. Os usuários nas versões 26.1.x e anteriores devem atualizar para o HBS 3 versão 26.2.0.938 ou posterior.
Protetor de dados Hyper (CVE-2025-59389): Uma vulnerabilidade nesta ferramenta dedicada de proteção de dados foi corrigida na versão 2.2.4.1 e posterior.
3. Removedor de malware (CVE-2025-11837)
Uma vulnerabilidade de dia zero foi encontrada na ferramenta de segurança da QNAP, o Malware Remover. Os usuários nas versões 6.6.x devem atualizar para o Malware Remover 6.6.8.20251023 e posterior.
As vulnerabilidades foram demonstradas como exploráveis em um ambiente de laboratório, o que significa que os invasores podem facilmente usar esses métodos em cenários do mundo real. Como os dispositivos NAS armazenam dados valiosos, os usuários da QNAP devem atualizar seu firmware e aplicativos imediatamente.