Cabecera-v2-web.jpg

Múltiples vulnerabilidades detectadas en dispositivos NAS de QNAP


26/04/2022

Qnap ha publicado un aviso de seguridad sobre múltiples vulnerabilidades, las cuales afectan a varias versiones de los sistemas operativos del mismo, debido a los fallos en la implementación del protocolo Netatalk.

Las vulnerabilidades reportadas se componen de 7 (siete) de severidad “Alta”. Las principales se detallan a continuación:

  • CVE-2022-0194 de severidad alta, sin una puntuación asignada aún. Esta se debe a una incorrecta validación de la longitud de los datos proporcionados por el usuario dentro de la función “ad_addcomment”. Un atacante podría aprovechar esta vulnerabilidad y realizar ejecución remota de código (RCE) en los dispositivos afectados de Qnap.
  • CVE-2022-23122 de severidad alta, sin una puntuación asignada aún. Esta se debe a una incorrecta validación de la longitud de los datos proporcionados por el usuario dentro de la función “setfilparams”. Un atacante podría aprovechar esta vulnerabilidad y realizar ejecución remota de código (RCE) en los dispositivos afectados de Qnap.
  • CVE-2022-23125 de severidad alta, sin una puntuación asignada aún. Esta se debe a una incorrecta validación de la longitud de los datos proporcionados por el usuario dentro de la función “copyapplfile”. Un atacante podría aprovechar esta vulnerabilidad y realizar ejecución remota de código (RCE) en los dispositivos afectados de Qnap.

Para acceder a la lista completa de las vulnerabilidades subsanadas, acceder a este enlace.

Las versiones del sistema operativo de QNAP afectadas son:

  • QTS 5.0.x y versiones posteriores
  • QTS 4.5.4 y versiones posteriores
  • QTS 4.3.6 y versiones posteriores
  • QTS 4.3.4 y versiones posteriores
  • QTS 4.3.3 y versiones posteriores
  • QTS 4.2.6 y versiones posteriores
  • QuTS hero h5.0.x y versiones posteriores
  • QuTS hero h4.5.4 y versiones posteriores
  • QuTScloud c5.0.x

Recomendamos descargar e instalar la última versión provista por el fabricante en el siguiente enlace, realizando una actualización manual para su dispositivo específico.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11