QNAP Systems publicó avisos de seguridad para dos vulnerabilidades críticas de inyección de comandos que afectan múltiples versiones del sistema operativo QTS y aplicaciones en sus dispositivos de almacenamiento conectado a la red (NAS).
La primera falla está siendo rastreada como CVE-2023-23368 y tiene una calificación de gravedad crítica de 9,8 sobre 10. Es una vulnerabilidad de inyección de comandos que un atacante remoto puede aprovechar para ejecutar comandos a través de una red.
Las versiones de QTS afectadas por el problema de seguridad son QTS 5.0.x y 4.5.x, QuTS hero h5.0.x y h4.5.x y QuTScloud c5.0.1.
Las correcciones están disponibles en las siguientes versiones:
- QTS 5.0.1.2376 build 20230421+
- QTS 4.5.4.2374 build 20230416+
- QuTS hero h5.0.1.2376 build 20230421+
- QuTS hero h4.5.4.2374 build 20230417+
- QuTScloud c5.0.1.2374+
La segunda vulnerabilidad se identifica como CVE-2023-23369 y tiene una clasificación de gravedad más baja de 9,0 y también podría ser explotada por un atacante remoto con el mismo efecto que la anterior.
Las versiones de QTS afectadas incluyen 5.1.x, 4.3.6, 4.3.4, 4.3.3 y 4.2.x, Multimedia Console 2.1.x y 1.4.x, y complemento Media Streaming 500.1.x y 500.0.x.
Las correcciones están disponibles en:
- QTS 5.1.0.2399 build 20230515+
- QTS 4.3.6.2441 build 20230621+
- QTS 4.3.4.2451 build 20230621+
- QTS 4.3.3.2420 build 20230621+
- QTS 4.2.6 build 20230621+
- Multimedia Console 2.1.2 (2023/05/04)+
- Multimedia Console 1.4.8 (2023/05/05)+
- Media Streaming add-on 500.1.1.2 (2023/06/12)+
- Media Streaming add-on 500.0.0.11 (2023/06/16)+
Para actualizar QTS, QuTS hero o QuTScloud, los administradores pueden iniciar sesión y navegar hasta Panel de control > Sistema > Actualización de firmware y hacer clic en "Buscar actualizaciones" en Actualización en vivo para descargar e instalar la última versión. Las actualizaciones también están disponibles como descargas manuales desde el sitio web de QNAP.
Es posible actualizar la consola multimedia buscando la instalación en el App Center y haciendo clic en el botón "Actualizar" (disponible solo si existe una versión más nueva). El proceso es similar para actualizar el complemento Media Streaming, que los usuarios también pueden localizar buscando en el App Center.
Dado que los dispositivos NAS se utilizan normalmente para almacenar datos, las fallas en la ejecución de comandos podrían tener un impacto grave, ya que los ciberdelincuentes a menudo buscan nuevos objetivos para robar y/o cifrar datos confidenciales. Luego, los atacantes pueden exigir un rescate a la víctima para no filtrar los datos o descifrarlos.
Los dispositivos QNAP han sido blanco de ataques de ransomware a gran escala en el pasado. Hace un año, la banda de ransomware Deadbolt aprovechó una vulnerabilidad de día cero para cifrar dispositivos NAS expuestos en la Internet pública.
Dicho esto, se recomienda a los usuarios de QNAP que apliquen las actualizaciones de seguridad disponibles lo antes posible.
Fuente: BC