Artigos

QNAP corrige 7 falhas zero-day (Pwn2Own). Atualize agora

A QNAP lançou patches para sete falhas zero-day exploradas na competição Pwn2Own 2025.

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Imagem com a logomarca do QNAP

A QNAP emitiu um alerta de segurança urgente nesta sexta-feira (7) ao liberar correções para sete vulnerabilidades zero-day que foram ativamente exploradas durante o evento Pwn2Own Ireland 2025. As falhas impactam diretamente os sistemas operacionais QTS e QuTS hero, além de aplicativos essenciais como o Malware Remover e o HBS 3 Hybrid Backup Sync.

Se você possui um NAS da QNAP, esta é uma notícia crítica. Essas falhas permitem a execução remota de código e o acesso não autorizado a dados, o que pode comprometer totalmente seus arquivos e backups. Este artigo explica o que foi descoberto, quais softwares estão afetados e, o mais importante, como atualizar seu NAS imediatamente para se proteger.

A exploração bem-sucedida dessas falhas durante o Pwn2Own mostra a gravidade da situação. Esses ataques não são teóricos: eles foram demonstrados publicamente por especialistas em segurança, provando que dispositivos vulneráveis podem ser invadidos com relativa facilidade caso não sejam atualizados.

O que foi descoberto no Pwn2Own 2025

Imagem com a logomarca do QNAP

O Pwn2Own é uma competição anual organizada pela Zero Day Initiative (ZDI), onde pesquisadores de segurança do mundo todo são recompensados por descobrir e explorar falhas inéditas em softwares e dispositivos amplamente utilizados. No evento deste ano, realizado em Cork, Irlanda, equipes como a Summoning Team, DEVCORE, Team DDOS e CyCraft demonstraram ataques bem-sucedidos contra dispositivos QNAP NAS.

As sete falhas descobertas incluem os identificadores CVE-2025-62847, CVE-2025-62848, CVE-2025-62849, CVE-2025-59389, CVE-2025-11837, CVE-2025-62840 e CVE-2025-62842. Embora os detalhes técnicos completos ainda não tenham sido divulgados por motivos de segurança, todas foram classificadas como críticas, permitindo execução remota de código (RCE) ou elevação de privilégios.

Em resposta, a QNAP agiu rapidamente, lançando uma série de patches de segurança e atualizações de firmware que corrigem as vulnerabilidades em questão.

Softwares e sistemas afetados: verifique seu dispositivo

Sistemas operacionais

Os sistemas QTS e QuTS hero, que alimentam a maioria dos dispositivos NAS da QNAP, estão entre os componentes mais afetados. As falhas permitiam que atacantes explorassem brechas de autenticação e execução de comandos via rede local ou até mesmo pela internet.

As versões mais antigas, lançadas antes de outubro de 2025, estão vulneráveis. A QNAP recomenda que todos os usuários atualizem imediatamente para as seguintes versões:

  • QTS: 5.2.7.3297 build 20251024 ou posterior
  • QuTS hero: h5.2.7.3297 build 20251024 ou h5.3.1.3292 build 20251024 e posteriores

Aplicativos

Além do sistema principal, as vulnerabilidades também atingiram aplicativos fundamentais para backup e segurança dos NAS. Entre eles:

  • Hyper Data Protector – ferramenta de backup corporativo local
  • Malware Remover – responsável pela varredura de ameaças
  • HBS 3 Hybrid Backup Sync – solução de sincronização com nuvem

A QNAP também aproveitou a atualização para corrigir uma falha isolada no QuMagie (CVE-2025-52425), aplicativo de gerenciamento de fotos, reforçando seu compromisso com a segurança da plataforma.

Ação imediata: como atualizar seu NAS QNAP

Versões corrigidas que você deve instalar

A QNAP disponibilizou as seguintes versões seguras, que eliminam as vulnerabilidades zero-day:

  • Hyper Data Protector: 2.2.4.1 e posteriores
  • Malware Remover: 6.6.8.20251023 e posteriores
  • HBS 3 Hybrid Backup Sync: 26.2.0.938 e posteriores
  • QTS: 5.2.7.3297 build 20251024 e posteriores
  • QuTS hero: h5.2.7.3297 build 20251024 / h5.3.1.3292 build 20251024 e posteriores

Atualizando o sistema operacional (QTS/QuTS hero)

Para aplicar as correções de forma segura, siga estas etapas:

  1. Faça login como administrador no painel do seu NAS.
  2. Vá até Painel de Controle > Sistema > Atualização de Firmware.
  3. Clique em “Verificar atualizações” na seção “Atualização ao vivo”.
  4. Caso haja uma nova versão, instale-a imediatamente e aguarde a reinicialização do sistema.

Atualizando os aplicativos (HBS 3, Malware Remover, etc.)

Para garantir que todos os aplicativos estejam protegidos:

  1. Acesse a Central de Aplicativos no seu NAS.
  2. Use o campo de busca para localizar Hyper Data Protector, Malware Remover ou HBS 3.
  3. Clique em “Atualizar” para instalar a versão mais recente.
  4. Após concluir, reinicie o dispositivo para aplicar as mudanças.

Conclusão: não ignore esta atualização

As vulnerabilidades zero-day da QNAP exploradas no Pwn2Own 2025 representam um risco imediato e comprovado. A empresa respondeu rapidamente com correções, mas a segurança final depende do usuário manter seu sistema e aplicativos atualizados.

Se você administra um NAS QNAP, seja em casa ou em ambiente empresarial, não adie essa atualização. A recomendação oficial da QNAP é clara: atualize o sistema, revise suas senhas e monitore acessos suspeitos.

Aplique todos os patches disponíveis hoje mesmo e mantenha seus dados protegidos contra ataques reais e já demonstrados.

TAGS:
Compartilhe este artigo
Nenhum comentário
Inteligência ArtificialTecnologiaTutoriais Linux

Guia: como criar um “ChatGPT” privado para seus documentos usando Dify e AMD Ryzen AI

lDPqzXFY privado dify amd ryzen ai

Transforme seu PC com AMD Ryzen AI em um “ChatGPT” privado para seus documentos usando Dify e Lemonade Server, com tudo rodando 100% local.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto
TODOS OS PROBLEMAS CORRIGIDOS - 100% FUNCIONAL