QNAP ha publicado actualizaciones de seguridad para abordar dos fallas de seguridad críticas que afectan su sistema operativo y que podrían resultar en la ejecución de código arbitrario.
Seguimiento como CVE-2023-23368 (Puntuación CVSS: 9,8), la vulnerabilidad se describe como un error de inyección de comandos que afecta a QTS, QuTS hero y QuTScloud.
«Si se explota, la vulnerabilidad podría permitir a atacantes remotos ejecutar comandos a través de una red», dijo la compañía en un aviso publicado durante el fin de semana.
La deficiencia abarca las siguientes versiones:
- QTS 5.0.x (corregido en QTS 5.0.1.2376 compilación 20230421 y posteriores)
- QTS 4.5.x (corregido en QTS 4.5.4.2374 compilación 20230416 y posteriores)
- QuTS hero h5.0.x (corregido en QuTS hero h5.0.1.2376 compilación 20230421 y posteriores)
- QuTS hero h4.5.x (corregido en QuTS hero h4.5.4.2374 compilación 20230417 y posteriores)
- QuTScloud c5.0.x (Corregido en QuTScloud c5.0.1.2374 y posteriores)
QNAP también solucionó otro defecto de inyección de comandos en QTS, la consola multimedia y el complemento Media Streaming (CVE-2023-23369puntuación CVSS: 9.0) que podría permitir a atacantes remotos ejecutar comandos a través de una red.
Las siguientes versiones del software se ven afectadas:
- QTS 5.1.x (corregido en QTS 5.1.0.2399 compilación 20230515 y posteriores)
- QTS 4.3.6 (corregido en QTS 4.3.6.2441 compilación 20230621 y posteriores)
- QTS 4.3.4 (corregido en QTS 4.3.4.2451 compilación 20230621 y posteriores)
- QTS 4.3.3 (corregido en QTS 4.3.3.2420 compilación 20230621 y posteriores)
- QTS 4.2.x (corregido en QTS 4.2.6 compilación 20230621 y posteriores)
- Consola multimedia 2.1.x (corregido en la consola multimedia 2.1.2 (04/05/2023) y posteriores)
- Consola multimedia 1.4.x (corregido en la consola multimedia 1.4.8 (05/05/2023) y posteriores)
- Complemento Media Streaming 500.1.x (corregido en el complemento Media Streaming 500.1.1.2 (2023/06/12) y posteriores)
- Complemento Media Streaming 500.0.x (corregido en el complemento Media Streaming 500.0.0.11 (2023/06/16) y posteriores)
Dado que los dispositivos QNAP fueron explotados para ataques de ransomware en el pasado, se insta a los usuarios que ejecutan una de las versiones antes mencionadas a actualizar a la última versión para mitigar posibles amenazas.
El desarrollo se produce semanas después de que la empresa taiwanesa revelado derribó un servidor malicioso utilizado en ataques generalizados de fuerza bruta dirigidos a dispositivos de almacenamiento conectado a la red (NAS) expuestos a Internet con contraseñas débiles.