QNAP ha lanzado una serie de nuevos parches que corrigen
múltiples vulnerabilidades de alta gravedad que afectan a sus dispositivos NAS
que ejecutan los sistemas operativos QES, QTS y QuTS hero.
En total, esta última ronda de actualizaciones de seguridad
corrige seis vulnerabilidades que afectan a las versiones anteriores de los
sistemas operativos FreeBSD, Linux y ZFS de 128 bits del fabricante de NAS.
TIM Security Red Team Research, Lodestone Security y CFF de
Topsec Alpha Team descubrieron e informaron estos errores de seguridad a QNAP
que, si no se corrigen, podrían usarse para llevar a cabo la inyección de
comandos o secuencias de comandos entre sitios (XSS) en los dispositivos NAS de
la empresa.
Si bien las vulnerabilidades XSS podrían permitir que un
atacante remoto inyecte código malicioso en versiones vulnerables de las
aplicaciones de QNAP, los errores de inyección de comandos podrían usarse para
elevar privilegios, ejecutar comandos arbitrarios o incluso hacerse cargo del
sistema operativo subyacente de un dispositivo.
(adsbygoogle = window.adsbygoogle || []).push({});
Vulnerabilidades NAS
Aunque QNAP ha publicado parches para seis vulnerabilidades
diferentes en su software, todos estos problemas ya se han solucionado en QES
2.1.1 Build 20201006 y posterior, QTS 4.5.1.1495 build 20201123 y posterior y
QuTS hero h4.5.1.1491 build 20201119.
Esto significa que actualizar el software en su dispositivo
NAS es la forma más fácil y rápida de abordar las seis vulnerabilidades. Para
hacerlo, deberá iniciar sesión en QES, QTS o QuTS hero como administrador e ir
a Panel de control> Sistema> Actualización de firmware. En la sección
Actualización en vivo, deberá hacer clic en Buscar actualizaciones para que
QES, QTS o QuTS Hero descarguen e instalen la última actualización disponible.
Además, la actualización también se puede descargar e
instalar manualmente visitando el Centro de descarga de soporte en el sitio web
de QNAP.
Como los dispositivos NAS se utilizan a menudo para realizar
copias de seguridad de archivos y datos confidenciales, mantenerlos
actualizados es de suma importancia para evitar que los piratas informáticos
aprovechen las vulnerabilidades conocidas.
(adsbygoogle = window.adsbygoogle || []).push({});
La lista de vulnerabilidades que QNAP parcheó incluye:
CVE-2020-2503: Vulnerabilidad QES de secuencias de comandos
entre sitios almacenados: permite a atacantes remotos inyectar código malicioso
en File Station.
CVE-2020-2504: vulnerabilidad QES de recorrido de ruta
absoluta: permite a los atacantes atravesar archivos en File Station.
CVE-2020-2505: vulnerabilidad QES: permite a los atacantes
obtener información confidencial mediante la generación de mensajes de error.
CVE-2016-6903: Vulnerabilidad QES de inyección de comando:
permite a atacantes remotos ejecutar comandos arbitrarios en Ishell.
CVE-2020-2499: Vulnerabilidad QES de contraseña codificada:
permite a los atacantes iniciar sesión con una contraseña codificada.
CVE-2020-25847: Vulnerabilidad de inyección de comandos (QTS
y QuTS hero): permite a los atacantes ejecutar comandos arbitrarios en
aplicaciones comprometidas.
