Defectos de alta gravedad de QNAP afectan a los sistemas NAS

Las fallas de secuencias de comandos de sitios cruzados de alta gravedad podrían permitir la inyección remota de código en los sistemas NAS de QNAP.

QNAP Systems advierte sobre fallas de alta gravedad que afectan a sus dispositivos de almacenamiento en red (NAS) más vendidos. Si se explota, la más grave de las fallas podría permitir a los atacantes hacerse cargo de los dispositivos NAS de forma remota.

Los dispositivos NAS son sistemas que constan de uno o más discos duros que están constantemente conectados a Internet, actuando como un “concentrador” de respaldo o unidad de almacenamiento que almacena todos los archivos y medios importantes, como fotos, videos y música. En general, QNAP emitió el lunes parches para fallas de secuencias de comandos entre sitios (XSS) vinculadas a seis CVE.

Cuatro de estas vulnerabilidades provienen de un problema de XSS que afecta a versiones anteriores de QTS y QuTS hero . QTS es el sistema operativo para los sistemas NAS, mientras que QuTS Hero es un sistema operativo que combina el QTS basado en aplicaciones con un sistema de archivos ZFS de 128 bits para proporcionar una mayor gestión del almacenamiento.

Dos de estas fallas XSS (CVE-2020-2495 y CVE-2020-2496) podrían permitir a atacantes remotos inyectar código malicioso en File Station. File Station es una aplicación QTS incorporada que permite a los usuarios administrar archivos almacenados en sus sistemas NAS de QNAP.

Otro defecto (CVE-2020-2497) puede permitir a atacantes remotos inyectar código malicioso en los registros de conexión del sistema; mientras que el cuarto defecto (CVE-2020-2498) permite a los atacantes inyectar de forma remota código malicioso en la configuración del certificado.

QNAP dijo que «recomendamos encarecidamente actualizar su sistema a la última versión» de QTS y QuTS hero: QuTS hero h4.5.1.1472 build 20201031 y posterior, QTS 4.5.1.1456 build 20201015 y posterior, QTS 4.4.3.1354 build 20200702 y posterior, QTS 4.3.6.1333 compilación 20200608 y posterior, QTS 4.3.4.1368 compilación 20200703 y posterior, QTS 4.3.3.1315 compilación 20200611 y posterior; y QTS 4.2.6 compilación 20200611 y posteriores.

Los usuarios pueden hacerlo iniciando sesión en QTS o QuTS hero como administrador, yendo a Panel de control> Sistema> Actualización de firmware y haciendo clic en Buscar actualizaciones en «Actualización en vivo».

Existe otra vulnerabilidad XSS de alta gravedad (CVE-2020-2491) en la función Photo Station de los sistemas NAS de QNAP, que permite la administración remota de fotografías. La falla permite a los atacantes inyectar código malicioso de forma remota.

Según QNAP, se ha corregido en las siguientes versiones del sistema operativo QTS: QTS 4.5.1 (Photo Station 6.0.12 y posterior); QTS 4.4.3 (Photo Station 6.0.12 y posterior); QTS 4.3.6 (Photo Station 5.7.12 y posterior); QTS 4.3.4 (Photo Station 5.7.13 y posterior); QTS 4.3.3 (Photo Station 5.4.10 y posterior) y QTS 4.2.6 (Photo Station 5.2.11 y posterior).

La última falla XSS (CVE-2020-2493) existe en la Consola multimedia de los sistemas NAS de QNAP y permite a los atacantes remotos inyectar código malicioso. La función Consola multimedia permite indexar, transcodificar, generar miniaturas y administrar contenido para que los usuarios puedan administrar aplicaciones y servicios multimedia de manera más eficiente.

“Ya hemos solucionado esta vulnerabilidad en la Consola multimedia 1.1.5 y posteriores”, dijo QNAP en su aviso.

El hardware de QNAP Systems no es ajeno a ser objetivos de ataque. El año pasado, los atacantes crearon malware diseñado específicamente para atacar dispositivos NAS . También en julio de 2019, los investigadores destacaron un  ransomware de Linux inusual, llamado QNAPCrypt, que apuntaba a los servidores NAS de QNAP . Los investigadores también han encontrado anteriormente  varios errores en la consola web Q’Center de QNAP ; mientras que en 2014, también se descubrió un gusano que explotaba la vulnerabilidad Bash en los dispositivos de almacenamiento conectados a la red de QNAP .