QNAP, fabricante de almacenamiento conectado a la red (NAS), lanzó hoy actualizaciones de seguridad para abordar las vulnerabilidades que podrían permitir a los atacantes tomar el control de los dispositivos NAS sin parches después de una explotación exitosa.
Las ocho vulnerabilidades parcheadas hoy por QNAP afectan a todos los dispositivos NAS de QNAP que ejecutan software vulnerable.
Estos errores de seguridad de inyección de comandos y secuencias de comandos entre sitios (XSS) que la empresa calificaron como problemas de seguridad de gravedad media y alta.
Las vulnerabilidades XSS podrían permitir a atacantes remotos inyectar código malicioso en versiones de aplicaciones vulnerables.
Aprovechar los errores de inyección de comandos les permite elevar los privilegios, ejecutar comandos arbitrarios en el dispositivo o aplicación comprometidos y hacerse cargo del sistema operativo subyacente.
Inyección de comandos del sistema operativo y secuencias de comandos entre sitios
La lista de software a la que se aplican algunas de las actualizaciones de seguridad actuales incluye el sistema operativo basado en ZFS de alto rendimiento QNAP QuTS Hero y el sistema operativo QTS NAS.
QNAP ha abordado los errores de XSS CVE-2020-2495, CVE-2020-2496, CVE-2020-2497 y CVE-2020-2498, así como el error de inyección de comandos CVE-2019-7198 en estas versiones de QTS y QuTS héroe:
• QTS 4.5.1.1456 compilación 20201015 y posterior
• QTS 4.4.3.1354 compilación 20200702 y posterior
• QTS 4.3.6.1333 compilación 20200608 y posterior
• QTS 4.3.4.1368 compilación 20200703 y posterior
• QTS 4.3.3.1315 compilación 20200611 y posterior
• QTS 4.2.6 compilación 20200611 y posterior
El fabricante de NAS insta a los clientes a actualizar sus sistemas a la última versión para evitar que futuros ataques afecten a sus dispositivos.
Para implementar las actualizaciones de seguridad de QTS y QuTS hero en su dispositivo NAS, siga este procedimiento:
- Inicie sesión en QTS o QuTS hero como administrador.
- Vaya a Panel de control > Sistema > Actualización de firmware .
- En Actualización en vivo , haga clic en Buscar actualizaciones . QTS o QuTS hero descarga e instala la última actualización disponible.
QNAP también corrigió errores de XSS que afectaban a Music Station (CVE-2020-2494), Consola multimedia (CVE-2020-2493) y Photo Station (CVE-2020-2491).
El procedimiento completo que debe seguir para actualizar las aplicaciones a sus últimas versiones en su NAS incluye estos pasos:
- Inicie sesión en QTS como administrador.
- Abra el App Center , luego haga clic en
y escriba el nombre de la aplicación en el cuadro de búsqueda que aparece. - Haga clic en Actualizar . Aparece un mensaje de confirmación. Nota: el botón Actualizar no está disponible si está utilizando la última versión.
- Haga clic en Aceptar . La aplicación está actualizada.
Los dispositivos NAS de QNAP son objetivos tentadores
Dado que los dispositivos NAS se utilizan comúnmente para realizar copias de seguridad y compartir archivos, también son atacados regularmente por atacantes que intentan robar documentos confidenciales o implementar cargas útiles de malware.
QNAP advirtió a los clientes en septiembre de los ataques en curso dirigidos a los dispositivos NAS expuestos públicamente con el ransomware AgeLocker mediante la explotación de versiones más antiguas y vulnerables de Photo Station.
La compañía también advirtió sobre los ataques de ransomware eCh0raix que apuntaban a fallas en la misma aplicación a partir de junio de 2020.
En un informe de agosto, el Laboratorio de investigación de seguridad de red de Qihoo 360 (360 Netlab) dijo que los piratas informáticos también estaban buscando dispositivos NAS vulnerables y tratando de explotar una vulnerabilidad de firmware de ejecución remota de código (RCE) abordada por QNAP en julio de 2017.
QNAP emitió otra advertencia hace dos meses, el 21 de octubre, cuando alertó a los usuarios que algunas versiones del sistema operativo QTS se ven afectadas por la vulnerabilidad crítica de Windows ZeroLogon (CVE-2020-1472) cuando los dispositivos se configuraron como controladores de dominio. .
Si bien los dispositivos NAS no se usan comúnmente como controladores de dominio de Windows, algunas organizaciones podrían habilitar la función para la administración de cuentas de usuario, la autenticación y para hacer cumplir la seguridad del dominio.
