Vulnerabilidades de acceso no autorizado en productos QNAP

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a productos QNAP, que permitirían a un atacante autenticado obtener acceso no autorizado y ejecutar código malicioso en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación: 

• CVE-2022-27595, de severidad «Alta» y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la carga de la biblioteca de QVPN Device Client para Windows. Esto permitiría a un atacante local autenticado obtener acceso no autorizado y ejecutar código malicioso en el sistema afectado. 

• CVE-2022-27600, de severidad «Alta» y puntuación asignada aún. Esta vulnerabilidad se debe a una falla de gestión de memoria en sistemas operativos QNAP. Esto permitiría a un atacante remoto provocar ataques de denegación de servicios (DoS) en el sistema afectado. 

Los productos afectados son: 

• QVPN Device Client para Windows, versiones anteriores a 2.0.0.1316. 
• QTS, versiones anteriores a 5.0.1.2277 build 20230112 y a 4.5.4.2280 build 20230112. 
• QuTS hero, versiones anteriores a h5.0.1.2277 build 20230112 y a h4.5.4.2374 build 20230417. 
• QuTS cloud, versiones anteriores a c5.0.1.2374 build 20230419. 
• QVR Pro Appliance, versiones anteriores a 2.3.1.0476. 

Se recomienda tener en cuenta los siguientes pasos de actualización provistas por el fabricante: 

Actualización de QTS, QuTS hero o QuTScloud: 

• Iniciar sesión en QTS, QuTS hero o QuTScloud como administrador. 
• Ir a Panel de control > Actualización del firmware > del sistema. 
• En Live Update, hacer clic en Buscar actualizaciones. 
• El sistema descarga e instala la última actualización disponible. 
• También se puede descargar la actualización desde el sitio web de QNAP, a través de Soporte > Centro de descarga y a continuación, realizar una actualización manual para el dispositivo específico. 

Actualización de QVP (dispositivos QVR Pro) 

• Iniciar sesión en QVP como administrador. 
• Ir a Panel de control > Configuración del sistema > Actualización de firmware. 
• Seleccionar la ficha Firmware Update (Actualización del firmware). 
• Hacer clic en Examinar… para cargar el archivo de firmware más reciente. 
• Descargar el archivo de firmware más reciente mediante el siguiente enlace: https://www.qnap.com/go/download 
• Hacer clic en Actualizar sistema y se instala la actualización. 

Referencias: 

• https://securityonline.info/cve-2022-27595-cve-2022-27600-two-high-severity-flaws-in-qvpn-and-qnap-systems/ 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27595 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27600 
• https://www.qnap.com/en-us/security-advisory/qsa-23-04 
• https://www.qnap.com/en-us/security-advisory/qsa-23-09 
• https://www.qnap.com/go/download