Descripción
QNAP publicó actualizaciones de seguridad que corrigen vulnerabilidades que podían darle el control a usuarios maliciosos sobre dispositivos NAS (Network-attached storage, Almacenamiento conectado a la red). Los identificadores a estas fallas son:
- CVE-2020-2495 [Alto]
- CVE-2020-2496 [Alto]
- CVE-2020-2497 [Alto]
- CVE-2020-2498 [Alto]
Las vulnerabilidades CVE-2020-2495 y CVE-2020-2496 son de tipo XSS (cross-site scripting) y pueden ocasionar que los atacantes agreguen código malicioso en “File Station”, la cual es una aplicación basada en QTS que permite a los usuarios manejar archivos alojados en los sistemas QNAP NAS.
La falla CVE-2020-2497 permite a los atacantes agregar código malicioso de manera remota en System Conection Logs.
Respecto al error CVE-2019-7198 puede ocasionar que usuarios maliciosos eleven privilegios y ejecuten comandos arbitrarios en los dispositivos o aplicaciones comprometidos.
El hardware de los sistemas QNAP no son ajenos a ser objetivos de ataque, dado que los dispositivos NAS se utilizan comúnmente para realizar copias de seguridad y compartir archivos, también son atacados regularmente por usuarios maliciosos que intentan robar documentos confidenciales o implementar programas maliciosos.
QNAP insta a los clientes actualizar sus sistemas a la última versión para evitar futuros ataques que afecten a sus dispositivos.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas:
- QuTS hero h4.5.1.1472 (20201031 y posteriores)
- QTS 4.5.1.1456 (20201015 y posteriores)
- QTS 4.4.3.1354 (20200702 y posteriores)
- QTS 4.3.6.1333 (20200608 y posteriores)
- QTS 4.3.4.1368 (20200703 y posteriores)
- QTS 4.3.3.1315 (20200611 y posteriores)
- QTS 4.2.6 (20200611 y posteriores)
Medidas de erradicación
- Aplicar las actualizaciones liberadas por QNAP para los sistemas afectados, publicadas en: https://www.qnap.com/en/
security-advisory/qsa-20-12
Referencias