Vulnerabilidades K2

Contacto

Martes, 31 Enero 2023 15:18

Vulnerabilidad en QNAP QTS y QuTS hero

El servicio de Cyberthreats de Entelgy Innotec Security avisa de la publicación de una vulnerabilidad crítica que afecta a QNAP QTS y QuTS hero.

Nivel de peligrosidad: CRÍTICO.

QNAP ha publicado un anuncio de seguridad en el que se ha solucionado una vulnerabilidad, calificada con una severidad crítica por parte del fabricante. Este error afecta a dispositivos NAS, más concretamente a QNAP QTS y QuTS hero.

La vulnerabilidad crítica ha sido descubierta por el investigador huasheng_mangguo, y permite a un atacante remoto ejecutar comandos SQL arbitrarios en el dispositivo destino, resultando su explotación exitosa en un compromiso completo del sistema vulnerable.

Cabe destacar que es de vital importancia aplicar las soluciones oficiales propuestas por el fabricante, ya que en el pasado se detectaron diversas campañas de ransomware dirigidas por parte de DeadBolt y eCh0raix, en la que se han explotado fallos de seguridad en productos de QNAP.

CVE

Descripción

CVE-2022-27596

Vulnerabilidad que existe debido a una sanitización insuficiente de los datos suministrados por el usuario. Un atacante remoto tiene la capacidad de remitir una solicitud maliciosa al dispositivo vulnerable e inyectar comandos SQL arbitrarios en la base de datos del sistema comprometido.

La base de datos del NIST ha registrado esta vulnerabilidad, pero por el momento, no se le ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, QNAP ha puntuado la vulnerabilidad como crítica. Hasta la fecha, no se conoce actividad dañina en la red ni la disponibilidad de exploits que aprovechen esta vulnerabilidad, así como tampoco se han publicado pruebas de concepto (PoC) sobre los detalles del fallo destacado.

Recursos afectados:

Las versiones afectadas por la anterior vulnerabilidad son las siguientes:

  • QNAP QTS - Versión 5.0.1 y anteriores
  • QNAP QuTS hero - Versión h5.0.1 y anteriores

Solución a las vulnerabilidades:

Se ha actualizado a la versión 5.0.1.2234 build 20221201 para QNAP QTS y a la versión h5.0.1.2248 build 20221215 para QNAP QuTS hero, disponible en el siguiente enlace:

  • QNAP Download Center.

Los usuarios pueden aplicar la actualización tras iniciar sesión en los dispositivos afectados con privilegios de administrador y acceder al Panel de control, entrando de esta manera en Sistema y seguidamente en Actualización de firmware.

Dentro del apartado Live Update, los administradores tienen la capacidad de buscar, descargar e instalar las actualizaciones de seguridad correspondientes.

Recomendaciones:

El servicio de Cyberthreats de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad oficiales publicados por QNAP, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, QNAP no ha revelado medidas de mitigación alternativas a la actualización de los sistemas a fin de parchear la vulnerabilidad descrita.

Referencias:

S5 Box