Múltiples vulnerabilidades detectadas en dispositivos NAS de QNAP
26/04/2022
Qnap ha publicado un aviso de seguridad sobre múltiples vulnerabilidades, las cuales afectan a varias versiones de los sistemas operativos del mismo, debido a los fallos en la implementación del protocolo Netatalk.
Las vulnerabilidades reportadas se componen de 7 (siete) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2022-0194 de severidad alta, sin una puntuación asignada aún. Esta se debe a una incorrecta validación de la longitud de los datos proporcionados por el usuario dentro de la función “ad_addcomment”. Un atacante podría aprovechar esta vulnerabilidad y realizar ejecución remota de código (RCE) en los dispositivos afectados de Qnap.
- CVE-2022-23122 de severidad alta, sin una puntuación asignada aún. Esta se debe a una incorrecta validación de la longitud de los datos proporcionados por el usuario dentro de la función “setfilparams”. Un atacante podría aprovechar esta vulnerabilidad y realizar ejecución remota de código (RCE) en los dispositivos afectados de Qnap.
- CVE-2022-23125 de severidad alta, sin una puntuación asignada aún. Esta se debe a una incorrecta validación de la longitud de los datos proporcionados por el usuario dentro de la función “copyapplfile”. Un atacante podría aprovechar esta vulnerabilidad y realizar ejecución remota de código (RCE) en los dispositivos afectados de Qnap.
Para acceder a la lista completa de las vulnerabilidades subsanadas, acceder a este enlace.
Las versiones del sistema operativo de QNAP afectadas son:
- QTS 5.0.x y versiones posteriores
- QTS 4.5.4 y versiones posteriores
- QTS 4.3.6 y versiones posteriores
- QTS 4.3.4 y versiones posteriores
- QTS 4.3.3 y versiones posteriores
- QTS 4.2.6 y versiones posteriores
- QuTS hero h5.0.x y versiones posteriores
- QuTS hero h4.5.4 y versiones posteriores
- QuTScloud c5.0.x
Recomendamos descargar e instalar la última versión provista por el fabricante en el siguiente enlace, realizando una actualización manual para su dispositivo específico.
Referencias:
- https://www.qnap.com/en/security-advisory/qsa-22-12
- https://www.incibe.es/protege-tu-empresa/avisos-seguridad/multiples-vulnerabilidades-dispositivos-nas-qnap
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0194
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23122
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23125