La empresa taiwanesa QNAP ha publicado actualizaciones para remediar una falla de seguridad crítica que afecta a sus dispositivos de almacenamiento conectado a la red (NAS) y que podría conducir a la inyección de código arbitrario.
rastreado como CVE-2022-27596, la vulnerabilidad tiene una puntuación de 9,8 sobre un máximo de 10 en la escala de puntuación CVSS. Afecta a QTS 5.0.1 y QuTS hero h5.0.1.
«Si se explota, esta vulnerabilidad permite a atacantes remotos inyectar código malicioso», QNAP dicho en un aviso publicado el lunes.
Los detalles técnicos exactos que rodean la falla no están claros, pero la base de datos nacional de vulnerabilidades (NVD) del NIST la ha clasificado como una vulnerabilidad de inyección SQL.
Esto significa que un atacante podría enviar consultas SQL especialmente diseñadas de modo que pudieran ser armadas para eludir los controles de seguridad y acceder o alterar información valiosa.
«Así como es posible leer información confidencial, también es posible realizar cambios o incluso eliminar esta información con un ataque de inyección SQL», según INGLETE.
La vulnerabilidad se solucionó en las versiones QTS 5.0.1.2234 compilación 20221201 y posteriores, así como en QuTS hero h5.0.1.2248 compilación 20221215 y posteriores.
DeadBolt ha utilizado las vulnerabilidades de día cero en los dispositivos QNAP expuestos Secuestro de datos actores para violar las redes de destino, por lo que es esencial actualizar a la última versión para mitigar las amenazas potenciales.
Para aplicar las actualizaciones, se recomienda a los usuarios que inicien sesión en QTS o QuTS hero como administrador, vayan a Panel de control > Sistema > Actualización de firmware y seleccionen «Buscar actualizaciones» en la sección «Actualización en vivo».