El fabricante de dispositivos de almacenamiento conectado a la red (NAS) QNAP el miércoles dicho está trabajando en la actualización de sus sistemas operativos QTS y QuTS después de que Netatalk lanzara parches el mes pasado para contener siete fallas de seguridad en su software.
Netatalk es una implementación de código abierto del Protocolo de archivo de Apple (AFP), lo que permite que los sistemas operativos similares a Unix sirvan como servidores de archivos para computadoras Apple macOS.
El 22 de marzo de 2022, sus mantenedores lanzaron versión 3.1.13 del software para resolver los principales problemas de seguridad: CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125y CVE-2022-0194 – que podría explotarse para lograr la ejecución de código arbitrario.
“Esta vulnerabilidad [CVE-2022-23121] puede explotarse de forma remota y no necesita autenticación”, investigadores del Grupo NCC anotado el mes pasado. “Permite que un atacante obtenga la ejecución remota de código como el usuario ‘nadie’ en el NAS. Este usuario puede acceder a recursos compartidos privados que normalmente requerirían autenticación”.
QNAP señaló que las vulnerabilidades de Netatalk afectan a las siguientes versiones del sistema operativo:
- QTS 5.0.x y posterior
- QTS 4.5.4 y posterior
- QTS 4.3.6 y posterior
- QTS 4.3.4 y posterior
- QTS 4.3.3 y posterior
- QTS 4.2.6 y posterior
- QuTS hero h5.0.x y posterior
- QuTS hero h4.5.4 y posterior, y
- QuTScloud c5.0.x
Hasta que las actualizaciones estén disponibles, la compañía taiwanesa recomienda a los usuarios que deshabiliten AFP. Las fallas se han corregido hasta ahora en QTS 4.5.4.2012 compilación 20220419 y posteriores.
La divulgación llega menos de una semana después de que QNAP dijera que está investigando su línea de productos por el impacto potencial que surge de dos vulnerabilidades de seguridad que se abordaron en el servidor Apache HTTP el mes pasado.