Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

[Actualización 22/05/2024] Múltiples vulnerabilidades en productos QNAP que ponen en riesgo tu dispositivo

Fecha de publicación 21/05/2024
Importancia
4 - Alta
Recursos Afectados

Los productos afectados son:

  • QTS.
  • QuTSCloud.
  • QTS hero.

Para aquellas vulnerabilidades con solución publicada en este momento (consultar aviso oficial en la sección de “Referencias”), los productos afectados son:

  • QTS, versiones anteriores a la 5.1.6.2722, compilación 20240402.
  • QuTS hero, versiones anteriores a la h5.1.6.2734, compilación 20240414.
Descripción

Aliz Hammond, investigador de WatchTowr Labs, ha detectado 15 vulnerabilidades en varios dispositivos y sistemas operativos del fabricante QNAP. La explotación exitosa de estas vulnerabilidades podría permitir a un ciberdelincuente ejecutar comandos arbitrarios, manipular registros y desactivar medidas de seguridad, entre otras acciones maliciosas. 

Algunas de estas vulnerabilidades han sido corregidas por el fabricante, mientras que otras aún no tienen una solución conocida (denominadas 0day).

Solución

Con respecto a las vulnerabilidades corregidas (identificadores CVE disponibles en el aviso oficial en la sección de “Referencias”), se recomienda actualizar lo antes posible a las versiones:

Actualización de QTS, QuTS hero o QuTScloud:

  1. Iniciar sesión en QTS o QuTS hero como administrador.
  2. Ir a Control Panel > System > Firmware Update.
  3.  En Live Update pulsar en Check for Update. El sistema descarga e instala la última actualización disponible.

En cuanto a las vulnerabilidades cuya solución aún no es conocida, se recomienda a los usuarios desconectar o restringir el acceso a estos sistemas temporalmente, hasta que el fabricante publique las pertinentes correcciones.

Recuerda que, para evitar vulnerabilidades como las descritas en este aviso, es muy importante mantener los sistemas actualizados. Aun así, la ciberseguridad al 100% no existe. Por eso, es fundamental contar con un plan de respuesta ante incidentes que nos permita mitigar el impacto en caso de incidente de seguridad.

Detalle

A continuación, se presentan los detalles de las vulnerabilidades detectadas:

  • CVE-2023-50361 y CVE-2023-50362: vulnerabilidades de tipo desbordamiento de búfer de la memoria. Estas vulnerabilidades podrían permitir a un ciberdelincuente ejecutar comandos arbitrarios en el dispositivo. Para ello, se requiere una cuenta válida en el dispositivo NAS. Esta vulnerabilidad ha sido corregida en las versiones indicadas en el apartado “Solución”.
  • CVE-2023-50363: falta de autenticación para deshabilitar el doble factor de autenticación. Esta vulnerabilidad podría permitir a un ciberdelincuente desactivar la autenticación en dos pasos (2FA), facilitando así el acceso no autorizado a las cuentas de los usuarios, obteniendo acceso a los datos almacenados. Se requiere una cuenta válida en el dispositivo NAS. Esta vulnerabilidad ha sido corregida en las versiones indicadas en el apartado “Solución”.
  • CVE-2023-50364: desbordamiento de búfer de la memoria. Esta vulnerabilidad podría permitir a un ciberdelincuente ejecutar comandos arbitrarios. Para explotar esta vulnerabilidad, se requiere la capacidad de escribir archivos en el sistema de archivos NAS. Esta vulnerabilidad ha sido corregida en las versiones indicadas en el apartado “Solución”.
  • CVE-2024-21902: falta de autenticación para ver registros del sistema. Esta vulnerabilidad podría permitir a un ciberdelincuente acceder a los registros del sistema. Se requiere una cuenta válida en el dispositivo NAS. Aún no existe una solución disponible.
  • CVE-2024-27127: esta vulnerabilidad podría permitir a un ciberdelincuente ejecutar código de forma remota. Se requiere una cuenta válida en el dispositivo NAS. Aún no existe una solución disponible.
  • CVE-2024-27128: desbordamiento de memoria. Esta vulnerabilidad podría permitir a un ciberdelincuente la ejecución remota de código. Se requiere una cuenta válida en el dispositivo NAS. Aún no existe una solución disponible.
  • CVE-2024-27129 y CVE-2024-27130: vulnerabilidades de tipo desbordamiento de búfer de la memoria que podrían permitir a un ciberdelincuente ejecutar código de forma remota. Se requiere una cuenta válida en el dispositivo NAS. Aún no existe una solución disponible.
  • CVE-2024-27131: vulnerabilidad de tipo suplantación (spoofing) de registros, que podría permitir a un ciberdelincuente manipular los registros de descargas. Aún no existe una solución disponible.

El resto de vulnerabilidades que aún no están publicadas por el fabricante, de ser explotadas con éxito, podrían permitir a un ciberdelincuente inyectar scripts (secuencias de comandos) maliciosos, realizar acciones no autorizadas y facilitar ataques de fuerza bruta para conseguir las credenciales de los usuarios. Aún no existe una solución disponible.
 

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).