La empresa taiwanesa QNAP ha publicado actualizaciones para remediar una falla de seguridad crítica que afecta a sus dispositivos de almacenamiento conectado a la red (NAS) y que podría conducir a la inyección de código arbitrario.
Rastreada como CVE-2022-27596 , la vulnerabilidad tiene una calificación de 9.8 de un máximo de 10 en la escala de puntuación CVSS. Afecta a QTS 5.0.1 y QuTS hero h5.0.1.
«Si se explota, esta vulnerabilidad permite a los atacantes remotos inyectar código malicioso», dijo QNAP en un aviso publicado el lunes.
Los detalles técnicos exactos que rodean la falla no están claros, pero la base de datos nacional de vulnerabilidades (NVD) del NIST la ha clasificado como una vulnerabilidad de inyección SQL.
Esto significa que un atacante podría enviar consultas SQL especialmente diseñadas de modo que pudieran ser armadas para eludir los controles de seguridad y acceder o alterar información valiosa.
«Así como es posible leer información confidencial, también es posible realizar cambios o incluso eliminar esta información con un ataque de inyección SQL», según MITRE .
La vulnerabilidad se solucionó en las versiones QTS 5.0.1.2234 compilación 20221201 y posteriores, así como en QuTS hero h5.0.1.2248 compilación 20221215 y posteriores.
Los actores del ransomware DeadBolt han utilizado las vulnerabilidades de día cero en los dispositivos QNAP expuestos para violar las redes de destino, por lo que es esencial actualizar a la última versión para mitigar las amenazas potenciales.
Para aplicar las actualizaciones, se recomienda a los usuarios que inicien sesión en QTS o QuTS hero como administrador, vayan a Panel de control > Sistema > Actualización de firmware y seleccionen «Buscar actualizaciones» en la sección «Actualización en vivo».
Fuente y redacción: thehackernews.com