QNAP ha advertido de que las vulnerabilidades de sus productos de software NAS, incluidos QTS, QuTS hero, QuTScloud y myQNAPcloud, podrían permitir a los atacantes acceder a los dispositivos.
El fabricante taiwanés de dispositivos de almacenamiento conectados a la red (NAS) ha revelado tres vulnerabilidades que pueden conducir a la omisión de autenticación, inyección de comandos e inyección SQL.
Mientras que las dos últimas requieren que los atacantes estén autenticados en el sistema de destino, lo que reduce considerablemente el riesgo, la primera (CVE-2024-21899) puede ejecutarse de forma remota sin autenticación y se describe como de «baja complejidad».
Las tres vulnerabilidades parcheadas son las siguientes:
- CVE-2024-21899 : Mecanismos de autenticación inapropiados permiten a usuarios no autorizados comprometer la seguridad del sistema a través de la red (remotamente).
- CVE-2024-21900 : Esta vulnerabilidad podría permitir a usuarios autenticados ejecutar comandos arbitrarios en el sistema a través de la red, lo que podría dar lugar a un acceso o control no autorizado del sistema.
- CVE-2024-21901 : Esta vulnerabilidad podría permitir a administradores autenticados inyectar código SQL malicioso a través de la red, lo que podría comprometer la integridad de la base de datos y manipular su contenido.
Las vulnerabilidades afectan a varias versiones de los sistemas operativos de QNAP, incluyendo QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x, y el servicio myQNAPcloud 1.0.x.
Se recomienda a los usuarios que actualicen a las siguientes versiones, que corrigen las tres vulnerabilidades:
- QTS 5.1.3.2578 build 20231110 y versiones posteriores
- QTS 4.5.4.2627 build 20231225 y versiones posteriores
- QuTS hero h5.1.3.2578 build 20231110 y versiones posteriores
- QuTS hero h4.5.4.2626 build 20231225 y versiones posteriores
- QuTScloud c5.1.5.2651 y versiones posteriores
- myQNAPcloud 1.0.52 (2023/11/24) y versiones posteriores
Para QTS, QuTS hero y QuTScloud, los usuarios deben iniciar sesión como administradores, navegar a ‘Panel de control > Sistema > Actualización de firmware’ y hacer clic en ‘Buscar actualización’ para iniciar el proceso de instalación automática.
Para actualizar myQNAPcloud, inicie sesión como administrador, abra el ‘App Center’, haga clic en el cuadro de búsqueda y escriba ‘myQNAPcloud’ + ENTER. La actualización debería aparecer en los resultados. Haga clic en el botón «Actualizar» para comenzar.
Los dispositivos NAS a menudo almacenan grandes cantidades de datos valiosos para empresas y particulares, incluyendo información personal sensible, propiedad intelectual y datos empresariales críticos. Al mismo tiempo, no se supervisan de cerca, están siempre conectados y expuestos a Internet, y pueden estar ejecutando un sistema operativo o firmware obsoletos.
Por todas estas razones, los dispositivos NAS suelen ser objeto de robos de datos y extorsiones.
DeadBolt, Checkmate y Qlocker son operaciones de ransomware conocidas por tener como objetivo los dispositivos QNAP.
Estos grupos han lanzado numerosas oleadas de ataques contra usuarios de NAS, a veces aprovechando exploits de día cero para penetrar en dispositivos totalmente parcheados.
El mejor consejo que podemos dar a los propietarios de NAS es que actualicen siempre su software y, mejor aún, que no expongan este tipo de dispositivos a Internet.