Descripción
QNAP retiró una actualización de firmware lanzada recientemente luego de informes generalizados de clientes de que estaba interrumpiendo la conectividad y, en algunos casos, bloqueando a los usuarios de sus dispositivos.
Se han detectado múltiples vulnerabilidades en varios productos QNAP de gravedad importante.
Su explotación exitosa por parte de ciberdelincuentes les puede permitir acceder a los sistemas de manera remota, ejecutar código malicioso, acceder de manera no autorizada a datos confidenciales o de sistema o incluso lanzar ataques de denegación de servicio DoS.
Adicionalmente, se describen otras vulnerabilidades que permiten mediante la falsificación de la solicitud por el lado del servidor (SSRF) y con acceso de administrador, acceder a datos de manera no autorizada o realizar un desbordamiento de búfer con la posibilidad de bloquear procesos o modificar la memoria.
Recursos afectados
- Notes Station 3, versiones 2.9.x
- QNAP AI Core, versiones 3.4.x
- QTS, versiones 5.2.x y QuTS hero, versiones h5.2.x
- QuRouter, versiones 2.4.x
- QuLog Center, versiones 1.7.x y 1.8.x.
Solución
QNAP ha corregido las diferentes vulnerabilidades detectadas en los diversos productos y recomienda a sus usuarios actualizar a las últimas versiones de firmware disponibles.
- Notes Station 3, versiones 3.9.7 y posteriores
- QNAP AI Core, versiones 3.4.1 y posteriores
- QTS, versiones 5.2.1.2930 y posteriores
- QuTS hero, versiones h5.2.1.2929 y posteriores
- QuRouter, versiones 2.4.3.106 y posteriores
- QuLog Center, versiones 1.70.831 y posteriores y 1.8.0.888 y posteriores