El proveedor de NAS, QNAP Systems, ha publicado urgentemente parches para no menos de 24 vulnerabilidades en toda su gama de productos, incluidas dos fallas de alta gravedad que podrían permitir la ejecución de comandos.
A pesar de la gravedad de estas vulnerabilidades, QNAP no ha informado de ningún caso de explotación de estos errores en la naturaleza. La medida de la empresa con sede en Taiwán es más bien una medida proactiva contra exploits potencialmente muy dañinos.
De acuerdo a Semana de la seguridad, las vulnerabilidades más preocupantes, denominadas CVE-2023-45025 y CVE-2023-39297, son fallas de inyección de comandos del sistema operativo. Estas fallas están presentes en las versiones 5.1.x y 4.5.x de QTS, las versiones h5.1.x y h4.5.x de QuTS hero y la versión 5.x de QuTScloud. El primero de ellos puede ser manipulado por los usuarios para ejecutar comandos a través de una red bajo ciertas configuraciones del sistema, mientras que el segundo requiere autenticación para una explotación exitosa.
¡Parche ahora!
QNAP también lanzó parches para dos vulnerabilidades adicionales, CVE-2023-47567 y CVE-2023-47568. Estas fallas explotables de forma remota están presentes en QTS, QuTS hero y QuTScloud y requieren autenticación de administrador para una explotación exitosa. La primera es una inyección de comando del sistema operativo, mientras que la segunda es una vulnerabilidad de inyección SQL.
Estos cuatro defectos de seguridad se han solucionado en las últimas versiones de QTS, QuTS hero y QuTScloud. También se ha solucionado otra vulnerabilidad de alta gravedad, CVE-2023-47564, que afecta a las versiones 4.4.x y 4.3.x de Qsync Central. Este error podría permitir a los usuarios autenticados leer o modificar recursos críticos a través de una red.
Además de estas fallas de alta gravedad, QNAP ha parcheado múltiples vulnerabilidades de gravedad media que podrían provocar la ejecución de código, ataques DoS, ejecución de comandos, elusión de restricciones, fuga de datos confidenciales e inyección de código.
Para obtener información más detallada sobre estas vulnerabilidades, se recomienda a los usuarios visitar Página de avisos de seguridad de QNAP.