QNAP advierte de un fallo crítico de omisión de autenticación en sus dispositivos NAS

QNAP ha advertido de que las vulnerabilidades de sus productos de software NAS, incluidos QTS, QuTS hero, QuTScloud y myQNAPcloud, podrían permitir a los atacantes acceder a los dispositivos.

El fabricante taiwanés de dispositivos de almacenamiento conectados a la red (NAS) ha revelado tres vulnerabilidades que pueden conducir a la omisión de autenticación, inyección de comandos e inyección SQL.

Mientras que las dos últimas requieren que los atacantes estén autenticados en el sistema de destino, lo que reduce considerablemente el riesgo, la primera (CVE-2024-21899) puede ejecutarse de forma remota sin autenticación y se describe como de «baja complejidad».

Las tres vulnerabilidades parcheadas son las siguientes:

  • CVE-2024-21899 : Mecanismos de autenticación inapropiados permiten a usuarios no autorizados comprometer la seguridad del sistema a través de la red (remotamente).
  • CVE-2024-21900 : Esta vulnerabilidad podría permitir a usuarios autenticados ejecutar comandos arbitrarios en el sistema a través de la red, lo que podría dar lugar a un acceso o control no autorizado del sistema.
  • CVE-2024-21901 : Esta vulnerabilidad podría permitir a administradores autenticados inyectar código SQL malicioso a través de la red, lo que podría comprometer la integridad de la base de datos y manipular su contenido.

Las vulnerabilidades afectan a varias versiones de los sistemas operativos de QNAP, incluyendo QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x, y el servicio myQNAPcloud 1.0.x.

Se recomienda a los usuarios que actualicen a las siguientes versiones, que corrigen las tres vulnerabilidades:

  • QTS 5.1.3.2578 build 20231110 y versiones posteriores
  • QTS 4.5.4.2627 build 20231225 y versiones posteriores
  • QuTS hero h5.1.3.2578 build 20231110 y versiones posteriores
  • QuTS hero h4.5.4.2626 build 20231225 y versiones posteriores
  • QuTScloud c5.1.5.2651 y versiones posteriores
  • myQNAPcloud 1.0.52 (2023/11/24) y versiones posteriores

Para QTS, QuTS hero y QuTScloud, los usuarios deben iniciar sesión como administradores, navegar a ‘Panel de control > Sistema > Actualización de firmware’ y hacer clic en ‘Buscar actualización’ para iniciar el proceso de instalación automática.

Para actualizar myQNAPcloud, inicie sesión como administrador, abra el ‘App Center’, haga clic en el cuadro de búsqueda y escriba ‘myQNAPcloud’ + ENTER. La actualización debería aparecer en los resultados. Haga clic en el botón «Actualizar» para comenzar.

Los dispositivos NAS a menudo almacenan grandes cantidades de datos valiosos para empresas y particulares, incluyendo información personal sensible, propiedad intelectual y datos empresariales críticos. Al mismo tiempo, no se supervisan de cerca, están siempre conectados y expuestos a Internet, y pueden estar ejecutando un sistema operativo o firmware obsoletos.

Por todas estas razones, los dispositivos NAS suelen ser objeto de robos de datos y extorsiones.

DeadBolt, Checkmate y Qlocker son operaciones de ransomware conocidas por tener como objetivo los dispositivos QNAP.

Estos grupos han lanzado numerosas oleadas de ataques contra usuarios de NAS, a veces aprovechando exploits de día cero para penetrar en dispositivos totalmente parcheados.

El mejor consejo que podemos dar a los propietarios de NAS es que actualicen siempre su software y, mejor aún, que no expongan este tipo de dispositivos a Internet.