QNAP ha publicado actualizaciones de seguridad para abordar dos fallas de seguridad críticas que afectan su sistema operativo y que podrían resultar en la ejecución de código arbitrario.
Registrada como CVE-2023-23368 (puntuación CVSS: 9,8), la vulnerabilidad se describe como un error de inyección de comandos que afecta a QTS, QuTS hero y QuTScloud.
«Si se explota, la vulnerabilidad podría permitir a atacantes remotos ejecutar comandos a través de una red», dijo la compañía en un aviso publicado durante el fin de semana.
La deficiencia abarca las siguientes versiones:
- QTS 5.0.x (corregido en QTS 5.0.1.2376 compilación 20230421 y posteriores)
- QTS 4.5.x (corregido en QTS 4.5.4.2374 compilación 20230416 y posteriores)
- QuTS hero h5.0.x (corregido en QuTS hero h5.0.1.2376 compilación 20230421 y posteriores)
- QuTS hero h4.5.x (corregido en QuTS hero h4.5.4.2374 compilación 20230417 y posteriores)
- QuTScloud c5.0.x (Corregido en QuTScloud c5.0.1.2374 y posteriores)
QNAP también solucionó otra falla de inyección de comandos en QTS, consola multimedia y complemento Media Streaming ( CVE-2023-23369 , puntuación CVSS: 9.0) que podría permitir a atacantes remotos ejecutar comandos a través de una red.
Las siguientes versiones del software se ven afectadas:
- QTS 5.1.x (corregido en QTS 5.1.0.2399 compilación 20230515 y posteriores)
- QTS 4.3.6 (corregido en QTS 4.3.6.2441 compilación 20230621 y posteriores)
- QTS 4.3.4 (corregido en QTS 4.3.4.2451 compilación 20230621 y posteriores)
- QTS 4.3.3 (corregido en QTS 4.3.3.2420 compilación 20230621 y posteriores)
- QTS 4.2.x (corregido en QTS 4.2.6 compilación 20230621 y posteriores)
- Consola multimedia 2.1.x (corregido en la consola multimedia 2.1.2 (04/05/2023) y posteriores)
- Consola multimedia 1.4.x (corregido en la consola multimedia 1.4.8 (05/05/2023) y posteriores)
- Complemento Media Streaming 500.1.x (corregido en el complemento Media Streaming 500.1.1.2 (2023/06/12) y posteriores)
- Complemento Media Streaming 500.0.x (corregido en el complemento Media Streaming 500.0.0.11 (2023/06/16) y posteriores)
Dado que los dispositivos QNAP fueron explotados para ataques de ransomware en el pasado, se insta a los usuarios que ejecutan una de las versiones antes mencionadas a actualizar a la última versión para mitigar posibles amenazas.
El desarrollo se produce semanas después de que la compañía taiwanesa revelara que eliminó un servidor malicioso utilizado en ataques generalizados de fuerza bruta dirigidos a dispositivos de almacenamiento conectados a la red (NAS) expuestos a Internet con contraseñas débiles.
Fuente y redacción: thehackernews.com