Cabecera-v2-web.jpg

Múltiples vulnerabilidades en dispositivos QNAP


10/05/2022

QNAP ha informado de vulnerabilidades que afectan a varios de sus productos, que permitirían a un atacante realizar ejecución remota de código (RCE), leer o sobrescribir archivos y redirigir a los usuarios a una página que no es de confianza.


Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 3 (tres) de severidad “Media”. Las principales se detallan a continuación:

  • CVE-2022-44051 de severidad alta, con una puntuación asignada de 8.8. Esta se debe a una inyección de comandos que afecta al NAS de QNAP que ejecuta QuTScloud, QuTS hero y QTS. Un atacante podría aprovechar esta vulnerabilidad y realizar ejecución remota de código (RCE) en los dispositivos afectados de Qnap.
  • CVE-2021-44052 de severidad media, con una puntuación asignada de 6.5. Esta se debe a una falla de resolución de enlace antes del acceso a un archivo ('Link Following') que afecta al dispositivo QNAP que ejecuta QuTScloud, QuTS hero y QTS. Un atacante remoto podría aprovechar esta vulnerabilidad y realizar escalamiento de privilegios, ingresando al sistema de archivos en ubicaciones no deseadas
  • CVE-2021-44053 de severidad media, con una puntuación asignada de 5.7. Esta se debe a una falla del tipo cross-site scripting (XSS) que afecta al dispositivo de QNAP que ejecuta QTS, QuTS hero y QuTScloud. Un atacante remoto podría aprovechar esta vulnerabilidad para inyectar código malicioso en los dispositivos afectados de Qnap.

Para acceder a la lista completa de las vulnerabilidades subsanadas, acceder a este enlace.

Las versiones del sistema operativo de QNAP afectadas son:

  • QVR, versiones anteriores a 5.1.6
  • Photo Station, versiones anteriores a 6.0.20
  • Photo Station, versiones anteriores a 5.7.16
  • Photo Station, versiones anteriores a 5.4.13
  • QTS, versiones anteriores a 5.0.0.1986 build 20220324
  • QTS, versiones anteriores a 4.5.4.1991 build 20220329
  • QTS, versiones anteriores a 4.3.6.1965 build 20220302
  • QTS, versiones anteriores a 4.3.4.1976 build 20220303
  • QTS, versiones anteriores a 4.3.3.1945 build 20220303
  • QTS, versiones anteriores a 4.2.6 build 20220304
  • QuTS hero, versiones anteriores a h5.0.0.1986 build 20220324
  • QuTS hero, versiones anteriores a h4.5.4.1971 build 20220310
  • QuTScloud, versiones anteriores a c5.0.1.1998

Recomendamos descargar e instalar la última versión provista por el fabricante en el siguiente enlace, realizando una actualización manual para su dispositivo específico.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11