Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

QNAP ha informado de vulnerabilidades que afectan a varios de sus productos

Fecha de publicación 22/09/2023
Importancia
4 - Alta
Recursos Afectados
  • QTS, versiones legacy 4.3.6, 4.3.4, 4.3.3 y 4.2.6.
  • Multimedia Console, versiones 2.1 y 1.4.

Las versiones 4.4.x, 4.5.x y 5.x de QTS no se ven afectadas. QuTS hero tampoco se ve afectado.

Descripción

QNAP ha informado de dos vulnerabilidades de severidad alta que afectan a sus productos QTS y Multimedia Console. De ser explotadas, estas vulnerabilidades podrían permitir a los ciberdelincuentes ejecutar código a través de vectores no especificados.

Solución

QNAP recomienda actualizar regularmente los sistemas a la última versión disponible, con el objetivo de poder beneficiarse de las correcciones de vulnerabilidades. Es posible comprobar el estado de soporte del producto para ver las últimas actualizaciones disponibles.

En concreto, estas 2 vulnerabilidades se han solucionado en las siguientes versiones:

  • QTS, versiones 4.3.6.2441, 4.3.4.2451, 4.3.3.2420, 4.2.6 (todas ellas con compilación 20230621) y posteriores.
  • Multimedia Console, versiones 2.1.1 (29/03/2023), 1.4.7 (20/03/2023) y posteriores.

Para actualizar QTS es necesario seguir los siguientes pasos:

  1. Iniciar sesión en QTS como administrador.
  2. Acceder a Control Panel > System > Firmware Update.
  3. En Live Update, hacer click en Check for Update. El sistema descarga e instala la última actualización disponible.

También, se puede descargar la actualización desde el sitio web de QNAP. Accediendo a Support > Download Center y, realizando una actualización manual para un dispositivo específico.

Actualización de la consola multimedia:

  1. Iniciar sesión en QTS como administrador.
  2. Abrir App Center y, a continuación, hacer click en el icono de la lupa. Aparece un cuadro de búsqueda.
  3. Escribir ‘Multimedia Console’ y, a continuación, presionar ENTER. La consola multimedia aparece en los resultados de búsqueda.
  4. Hacer click en Update. Aparecerá un mensaje de confirmación. Nota: El botón Update no está disponible si la versión ya está actualizada.
  5. Hacer click en OK. La aplicación se actualiza.

Mantener los sistemas regularmente actualizados permite poder beneficiarse de las correcciones de vulnerabilidades como las descritas en este aviso. No prestar atención a estas actualizaciones puede suponer un peligro, como le ocurrió a la empresa de esta historia real.

Definir una política de gestión de incidentes de seguridad es fundamental para minimizar el impacto en caso de que la empresa sea víctima de un incidente.

Detalle

Las 2 vulnerabilidades detectadas consisten en la copia del búfer de memoria sin comprobar del tamaño de entrada. Si un ciberdelincuente aprovechase estas vulnerabilidades, podrían permitir la ejecución de código a través de vectores no especificados.

 

Contenido realizado en el marco de los fondos del  Plan de Recuperación, Transformación y Resiliencia  del Gobierno de España, financiado por la Unión Europea (Next Generation).