Vulnerabilidades críticas en dispositivos NAS de QNAP; actualice ahora

Los equipos de seguridad de QNAP han lanzado un conjunto de actualizaciones para corregir múltiples vulnerabilidades críticas presentes en sus dispositivos de almacenamiento conectado a la red (NAS) con los sistemas operativos QES, QTS y QuTS hero. En total se corrigieron seis vulnerabilidades en productos para FreeBDS, Linux y ZFS.

Las fallas reportadas permitirían ataques de scripts entre sitios (XSS), inyección de comandos arbitrarios y el compromiso de contraseñas en versiones vulnerables de estos productos.

Los actores de amenazas que abusan de los errores de inyección de comandos también podrían elevar sus privilegios, ejecutar comandos arbitrarios en el dispositivo o aplicación comprometidos e incluso tomar el control del sistema operativo subyacente. Entre las fallas reportadas se incluyen:

  • CVE-2020-2503: Falla XSS que permitiría a los atacantes remotos inyectar código malicioso en File Station
  • CVE-2020-2504: Vulnerabilidad de recorrido de ruta absoluta en QES que permite a los atacantes atravesar archivos en File Station
  • CVE-2020-2505: Esta falla permite a los hackers remotos acceder a la información confidencial en QES mediante la generación de mensajes de error
  • CVE-2016-6903: Vulnerabilidad de inyección de comandos en QWES que permite a los atacantes remotos ejecutar comandos arbitrarios en Ishell
  • CVE-2020-2499: Falla de contraseña codificada en QES que permite a los hackers maliciosos iniciar sesión con una contraseña codificada
  • CVE-2020-25847: Vulnerabilidad de inyección de comandos en QTS y QuTS hero que permitiría a los atacantes ejecutar comandos arbitrarios en aplicaciones comprometidas

Las fallas fueron corregidas en la versión QES 2.1.1 Build 20201006 y posteriores, QTS 4.5.1.1495 Build 20201123 y posteriores, y QuTS hero h4.5.1.1491 Build 20201119 y posteriores. En su reporte, QNAP menciona: “Se recomienda encarecidamente actualizar a la última versión disponible de su sistema para mitigar el riesgo de explotación”.

Expertos en ciberseguridad mencionan que los dispositivos NAS suelen ser objeto de múltiples ataques mediante los cual se trata de robar documentos confidenciales o implementar cargas de malware debido a que usualmente son utilizados para realizar copias de seguridad o como sistemas para compartir archivos. La compañía alertó a sus clientes sobre las fallas detectadas, recomendando que se implementaran las medidas de seguridad adecuadas para prevenir infecciones de malware y otros ataques.