TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar las actualizaciones de seguridad publicadas por QNAP a los sistemas afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código arbitrario.

Descripción

QNAP ha publicado actualizaciones de seguridad para corregir vulnerabilidades que afectan a los dispositivos de almacenamiento conectados a la red (NAS) y que ejecutan los sistemas operativos QES, QTS y QuTS hero. Los identificadores asignados a estas fallas son:

  1. CVE-2020-2503 [Alto]
  2. CVE-2020-2504 [Alto]
  3. CVE-2020-2505 [Alto]
  4. CVE-2016-6903 [Alto]
  5. CVE-2020-2499 [Alto]
  6. CVE-2020-25847 [Alto]

El error CVE-2020-2503 puede permitir que un usuario malicioso remoto agregue código malicioso en “File Station”, herramienta de administración de archivos en QTS.

La falla CVE-2020-2504 afecta a algunas versiones de QES y puede ocasionar que un atacante obtenga acceso a los archivos en File Station.

La vulnerabilidad CVE-2020-2505 podría permitir que un usuario malicioso obtenga acceso a información confidencial mediante la generación de mensajes de error.

Las fallas CVE-2016-6903, CVE-2020-2499 y CVE-2020-25847 afectan a algunas versiones de QES y podrían permitir que un usuario malicioso remoto ejecute código de manera arbitraria en el dispositivo afectado.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas

  • Versiones anteriores a QES 2.1.1 Build 20201006
  • Versiones anteriores QTS 4.5.1.1495 build 20201123
  • Versiones anteriores QuTS hero h4.5.1.1491 build 20201119

Medidas de erradicación

A continucación, se listan las actualizaciones publicadas por QNAP para corregir las fallas reportadas en esta alerta:

  • QES 2.1.1 Build 20201006 y posteriores
  • QTS 4.5.1.1495 build 20201123 y posteriores
  • QuTS hero h4.5.1.1491 build 20201119 y posteriores

Referencias