TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar las actualizaciones de seguridad publicadas por QNAP a los sistemas afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

QNAP publicó actualizaciones de seguridad que corrigen vulnerabilidades que podían darle el control a usuarios maliciosos sobre dispositivos NAS (Network-attached storage, Almacenamiento conectado a la red). Los identificadores a estas fallas son:

  1. CVE-2020-2495 [Alto]
  2. CVE-2020-2496 [Alto]
  3. CVE-2020-2497 [Alto]
  4. CVE-2020-2498 [Alto]

Las vulnerabilidades CVE-2020-2495 y CVE-2020-2496 son de tipo XSS (cross-site scripting) y pueden ocasionar que los atacantes agreguen código malicioso en “File Station”, la cual es una aplicación basada en QTS que permite a los usuarios manejar archivos alojados en los sistemas QNAP NAS.

La falla CVE-2020-2497 permite a los atacantes agregar código malicioso de manera remota en System Conection Logs.

Respecto al error CVE-2019-7198 puede ocasionar que usuarios maliciosos eleven privilegios y ejecuten comandos arbitrarios en los dispositivos o aplicaciones comprometidos.

El hardware de los sistemas QNAP no son ajenos a ser objetivos de ataque, dado que los dispositivos NAS se utilizan comúnmente para realizar copias de seguridad y compartir archivos, también son atacados regularmente por usuarios maliciosos que intentan robar documentos confidenciales o implementar programas maliciosos.

QNAP insta a los clientes actualizar sus sistemas a la última versión para evitar futuros ataques que afecten a sus dispositivos.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • QuTS hero h4.5.1.1472 (20201031 y posteriores)
  • QTS 4.5.1.1456 (20201015 y posteriores)
  • QTS 4.4.3.1354 (20200702 y posteriores)
  • QTS 4.3.6.1333 (20200608 y posteriores)
  • QTS 4.3.4.1368 (20200703 y posteriores)
  • QTS 4.3.3.1315 (20200611 y posteriores)
  • QTS 4.2.6 (20200611 y posteriores)

Medidas de erradicación

Referencias