QNAP corrige las vulnerabilidades de QTS al permitir el control del dispositivo NAS

QNAP corrige las vulnerabilidades de QTS al permitir el control del dispositivo NAS

QNAP, el fabricante de almacenamiento adjunto a la red (NAS), lanzó hoy actualizaciones de seguridad para abordar las vulnerabilidades que podrían permitir a los atacantes tomar el control de los dispositivos NAS sin parches después de una explotación exitosa.

El ocho vulnerabilidades solucionadas hoy de QNAP afecta a todos los dispositivos NAS de QNAP que ejecutan software vulnerable.

Estas inyección de comandos es Secuencias de comandos entre sitios (XSS) que la empresa ha clasificado como problemas de seguridad de gravedad media a alta.

Las vulnerabilidades XSS podrían permitir a atacantes remotos inyectar código malicioso en versiones de aplicaciones vulnerables.

Explotar los errores de inyección de comandos les permite elevar los privilegios, ejecutar comandos arbitrarios en el dispositivo o aplicación comprometidos y tomar el control del sistema operativo subyacente.

Índice de contenidos
  1. Inyección de comandos del sistema operativo y secuencias de comandos entre sitios
    1. Los dispositivos NAS de QNAP son objetivos tentadores

Inyección de comandos del sistema operativo y secuencias de comandos entre sitios

La lista de software al que se aplican algunas de las actualizaciones de seguridad actuales incluye el sistema operativo QNAP QuTS hero de alto rendimiento basado en ZFS y el sistema operativo QTS NAS.

QNAP ha corregido los errores CVE-2020-2495, CVE-2020-2496, CVE-2020-2497 y CVE-2020-2498 XSS, así como el error de inyección de comandos CVE-2019-7198 en estas versiones de QTS y QuTS Hero :

• QuTS hero h4.5.1.1472 compilación 20201031 y posterior
• QTS 4.5.1.1456 compilación 20201015 y posterior
• QTS 4.4.3.1354 compilación 20200702 y posterior
• QTS 4.3.6.1333 compilación 20200608 y posterior
• QTS 4.3.4.1368 compilación 20200703 y posterior
• QTS 4.3.3.1315 compilación 20200611 y posterior
• QTS 4.2.6 compilación 20200611 y posterior

El fabricante de NAS insta a los clientes a actualizar sus sistemas a la última versión para evitar que futuros ataques afecten a sus dispositivos.

Para implementar actualizaciones de seguridad de QTS y QuTS hero en su dispositivo NAS, siga estos pasos:

  1. Inicie sesión en QTS o QuTS hero como administrador.
  2. Ir Panel de control > Sistema > Actualización de firmware.
  3. Debajo Actualización en vivo, haga clic en Buscar actualizaciones. QTS o QuTS hero descargue e instale la última actualización disponible.

QNAP también ha corregido errores de XSS que afectan a Music Station (CVE-2020-2494), Consola multimedia (CVE-2020-2493) y Photo Station (CVE-2020-2491).

El procedimiento completo para actualizar las aplicaciones a las últimas versiones en el NAS incluye estos pasos:

  1. Inicie sesión en QTS como administrador.
  2. Abre el Centro de Aplicaciones, luego haga clic en y escriba el nombre de la aplicación en el cuadro de búsqueda que aparece.
  3. Hacer clic Actualizar. Se muestra un mensaje de confirmación. Nota: los Actualizar El botón no está disponible si está utilizando la última versión.
  4. Hacer clic Okay. La aplicación está actualizada.

Los dispositivos NAS de QNAP son objetivos tentadores

Dado que los dispositivos NAS se utilizan habitualmente para realizar copias de seguridad y compartir archivos, también son atacados habitualmente por atacantes que intentan robar documentos confidenciales o distribuir cargas útiles de malware.

QNAP advirtió a los clientes en septiembre sobre los ataques en curso dirigidos a dispositivos NAS expuestos públicamente con el ransomware AgeLocker utilizando versiones más antiguas y vulnerables de Photo Station.

La compañía también advirtió sobre ataques de ransomware eCh0raix dirigidos a fallas en la misma aplicación a partir de junio de 2020.

En un informe de agosto, el Network Security Research Lab de Qihoo 360 (360 Netlab) dijo que los piratas informáticos también buscaban dispositivos NAS vulnerables e intentaban explotar una vulnerabilidad de firmware de ejecución remota de código (RCE) que QNAP abordó en julio de 2017.

QNAP emitió otra advertencia hace dos meses, el 21 de octubre, cuando advirtió a los usuarios que algunas versiones del sistema operativo QTS se ven afectadas por la vulnerabilidad crítica de Windows ZeroLogon (CVE-2020-1472) cuando los dispositivos se configuraban como controladores. dominio.

Aunque los dispositivos NAS no se utilizan comúnmente como controladores de dominio de Windows, algunas organizaciones pueden habilitar la funcionalidad para la administración de cuentas de usuario, la autenticación y para hacer cumplir la seguridad del dominio.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos Ver más

  • Responsable: Nelida Haydee Saldivia.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a KnownHost que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Subir