En contexto: Los dispositivos de almacenamiento conectado a la red (NAS) fabricados por QNAP son populares para aplicaciones de intercambio de archivos, virtualización, vigilancia y gestión de almacenamiento. La corporación también es conocida por sus versiones de firmware NAS con errores, y algunos problemas generan vulnerabilidades significativas en las redes conectadas a esos dispositivos.
QNAP, fabricante de NAS con sede en Taiwán, insta a los propietarios de dispositivos a realizar actualizaciones de firmware lo antes posible porque los ciberdelincuentes podrían comprometerlos fácilmente gracias a una vulnerabilidad de seguridad crítica recientemente descubierta. La falla es parte de tres errores recientemente revelados que los desarrolladores ya han solucionado en los numerosos sistemas operativos de aplicaciones en la nube y de red basados en Linux de la compañía.
Un boletín de seguridad (QSA-24-09) liza múltiples fallas que afectan a «determinadas» versiones del sistema operativo. El problema más grave (CVE-2024-21899) se refiere a una vulnerabilidad de autenticación inadecuada que podría permitir a usuarios malintencionados comprometer la seguridad del NAS a través de una red. La base de datos del NIST enumera el agujero de seguridad con una puntuación «crítica» de 9,8, y señala que los ciberdelincuentes expertos (y motivados) podrían explotar fácilmente el error.
Otras fallas en el software de QNAP incluyen una vulnerabilidad de inyección (CVE-2024-21900) que podría permitir a usuarios autenticados ejecutar comandos a través de una red y una vulnerabilidad de inyección SQL (CVE-2024-21901) que podría permitir a administradores autenticados inyectar código malicioso en el plataforma myQNAPcloud. Ambas fallas tienen una puntuación NIST «media», lo que significa que no deberían representar la misma amenaza destacada para la seguridad del NAS que CVE-2024-21899.
La compañía ya lanzó firmware actualizado para corregir los tres errores y marcó el boletín de seguridad como «Resuelto». Los productos afectados incluyen QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x y myQNAPcloud 1.0.x. Los propietarios y administradores deben ejecutar de inmediato tareas periódicas de actualización para sus sistemas y aplicaciones NAS. Las últimas versiones de firmware proporcionarán valiosas correcciones de seguridad y mejorarán su experiencia de almacenamiento en red.
Se encuentran disponibles instrucciones detalladas sobre cómo descubrir e instalar firmware lanzado recientemente, con diferentes rutas de actualización descritas para QTS, QuTS hero, QuTScloud y la plataforma myQNAPcloud centrada en la nube. Los clientes y administradores de sistemas deben consultar el soporte de productos de QNAP. página de estado para ver las últimas actualizaciones para su modelo NAS específico.