Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en QTS, QuTS hero y License Center

Fecha de publicación 10/12/2024
Importancia
4 - Alta
Recursos Afectados
  • QTS, versiones 5.1.x y 5.2.x;
  • QuTS hero, versiones h5.1.x y h5.2.x;
  • License Center, versiones 1.9.x.
Descripción

QNAP ha identificado múltiples vulnerabilidades que afectan a los sistemas operativos de QNAP (QTS y QuTS hero) y al centro de licencias.

Solución

QNAP ha corregido diferentes vulnerabilidades detectadas en diversos productos y recomienda a sus usuarios actualizar a las últimas versiones de firmware disponibles.

  • QTS 5.1.x: versión 5.1.9.2954 build 20241120 y posteriores;
  • QTS 5.2.x: versión 5.2.2.2950 build 20241114 y posteriores;
  • QuTS hero h5.1.x: h5.1.9.2954 build 20241120 y posteriores;
  • QuTS hero h5.2.x: h5.2.2.2952 build 20241116 y posteriores;
  • License Center 1.9.x: 1.9.43 y posteriores.

Actualización de QTS o QuTS hero:

  1. Iniciar sesión en QTS o QuTS hero como administrador.
  2. Ir a Control Panel > System > Firmware Update.
  3. En Live Update, hacer clic en Check for Update
    El sistema descargará y actualizará la última actualización disponible.

También, se puede descargar esta actualización desde la página web de QNAP e ir a Support > Download Center, para posteriormente realizar la actualización de forma manual en un dispositivo específico.

QNAP recomienda que para que el dispositivo esté protegido, actualizar regularmente el sistema a la última versión disponible y así disponer de las correcciones realizadas para solventar las últimas vulnerabilidades descubiertas. Para comprobar el estado de soporte del producto vaya al siguiente enlace.

Actualización de License Center:

  1. Iniciar sesión en QTS o QuTS hero como administrador.
  2. Abrir App Center y, a continuación, hacer clic en el icono de la lupa.
    Aparecerá un cuadro de búsqueda.
  3. Escribir "License Center" y presionar ENTER.
    License Center aparecerá en los resultados de búsqueda.
  4. Hacer clic en Update.
    Aparecerá un mensaje de confirmación.
    Nota: El botón Update no estará disponible si ya está actualizada.
  5. Hacer clic en OK.


Recuerda la importancia de mantener los sistemas actualizados para evitar vulnerabilidades como la descrita en este aviso. Además, contar con un plan de respuesta ante incidentes puede ayudar a mitigar el impacto de las amenazas.

 

Detalle

Las vulnerabilidades que afectan a los ssistemas operativos QTS y QuTS hero podrían:

  • comprometer la seguridad del sistema si se produce una autenticación incorrecta;
  • dar acceso a la red local a los atacantes tras una validación de certificados incorrecta que podría comprometer la seguridad del sistema;
  • provocar un uso inadecuado de codificación de URL y permitir a los atacantes remotos hacer que el sistema entre en un estado inesperado;
  • neutralizar incorrectamente de una inyección CRLF y permitir a atacantes remotos modificar datos de la aplicación;
  • inyectar comandos que podrían permitir a los atacantes remotos ejecutar comandos arbitrarios;
  • usar cadenas de formato controladas de forma externa y permitir a los atacantes remotos que han obtenido acceso de administrador, obtener datos secretos o modificar la memoria. 

La vulnerabilidad en License podría permitir realizar al ciberdelincuente una inyección remota de comandos arbitrarios que afecten al centro de licencias. 

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Listado de referencias
Multiple Vulnerabilities in QTS and QuTS hero (PWN2OWN 2024)
Vulnerability in License Center
Etiquetas