Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a productos QNAP, que permitirían a un atacante autenticado obtener acceso no autorizado y ejecutar código malicioso en el sistema afectado.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2022-27595, de severidad «Alta» y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la carga de la biblioteca de QVPN Device Client para Windows. Esto permitiría a un atacante local autenticado obtener acceso no autorizado y ejecutar código malicioso en el sistema afectado.
- CVE-2022-27600, de severidad «Alta» y puntuación asignada aún. Esta vulnerabilidad se debe a una falla de gestión de memoria en sistemas operativos QNAP. Esto permitiría a un atacante remoto provocar ataques de denegación de servicios (DoS) en el sistema afectado.
Los productos afectados son:
- QVPN Device Client para Windows, versiones anteriores a 2.0.0.1316.
- QTS, versiones anteriores a 5.0.1.2277 build 20230112 y a 4.5.4.2280 build 20230112.
- QuTS hero, versiones anteriores a h5.0.1.2277 build 20230112 y a h4.5.4.2374 build 20230417.
- QuTS cloud, versiones anteriores a c5.0.1.2374 build 20230419.
- QVR Pro Appliance, versiones anteriores a 2.3.1.0476.
Se recomienda tener en cuenta los siguientes pasos de actualización provistas por el fabricante:
Actualización de QTS, QuTS hero o QuTScloud:
- Iniciar sesión en QTS, QuTS hero o QuTScloud como administrador.
- Ir a Panel de control > Actualización del firmware > del sistema.
- En Live Update, hacer clic en Buscar actualizaciones.
- El sistema descarga e instala la última actualización disponible.
- También se puede descargar la actualización desde el sitio web de QNAP, a través de Soporte > Centro de descarga y a continuación, realizar una actualización manual para el dispositivo específico.
Actualización de QVP (dispositivos QVR Pro)
- Iniciar sesión en QVP como administrador.
- Ir a Panel de control > Configuración del sistema > Actualización de firmware.
- Seleccionar la ficha Firmware Update (Actualización del firmware).
- Hacer clic en Examinar… para cargar el archivo de firmware más reciente.
- Descargar el archivo de firmware más reciente mediante el siguiente enlace: https://www.qnap.com/go/download
- Hacer clic en Actualizar sistema y se instala la actualización.
Referencias:
- https://securityonline.info/cve-2022-27595-cve-2022-27600-two-high-severity-flaws-in-qvpn-and-qnap-systems/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27595
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27600
- https://www.qnap.com/en-us/security-advisory/qsa-23-04
- https://www.qnap.com/en-us/security-advisory/qsa-23-09
- https://www.qnap.com/go/download