Vulnerabilidades críticas en QNAP pueden ser explotadas por ciberactores de amenaza

Los dispositivos de almacenamiento conectado a la red (NAS) de QNAP se han identificado como vulnerables a múltiples fallas críticas que podrían permitir a atacantes ejecutar acciones no autorizadas y realizar ataques remotos. El fabricante ha emitido un aviso de seguridad urgente para alertar a sus usuarios objeto efectúen las actualizaciones de seguridad a la brevedad. Entre los dispositivos afectados figuran los siguientes:

• QTS
• QuTS hero 
• QuTScloud
• myQNAPcloud
• myQNAPcloud Link

Detalle de vulnerabilidades QNAP

Entre las vulnerabilidades destacadas se encuentran CVE-2024-27124 (con una puntuación CVSS de 7.5) y CVE-2024-32766 (CVSS 10.0), las cuales explotan inyecciones de comandos del sistema operativo, permitiendo la ejecución de código arbitrario, robo de datos y posible toma de control total del NAS. Otra vulnerabilidad crítica, CVE-2024-32764 (CVSS 9.9), permite acceso no autorizado a funciones importantes del servicio myQNAPcloud Link.

Afectación de las vulnerabilidades
 

CVE-2024-21899: Si se explota, la vulnerabilidad de autenticación incorrecta podría permitir a los usuarios comprometer la seguridad del sistema a través de una red.

CVE-2024-21900: Si se explota, la vulnerabilidad de inyección podría permitir a usuarios autenticados ejecutar comandos a través de una red.

CVE-2024-21901: Si se explota, la vulnerabilidad de inyección SQL podría permitir a administradores autenticados inyectar código malicioso a través de una red.

CVE-2024-27124: Si se explota, la vulnerabilidad de inyección de comandos del sistema operativo podría permitir a los usuarios ejecutar comandos a través de una red.

CVE-2024-32764: Si se explota, la autenticación faltante para la vulnerabilidad de función crítica podría permitir a usuarios sin privilegios obtener acceso y ejecutar ciertas funciones a través de una red.

CVE-2024-32766: Si se explota, la vulnerabilidad de inyección de comandos del sistema operativo podría permitir a los usuarios ejecutar comandos a través de una red.

Importancia dispositivos NAS

Los dispositivos NAS suelen contener información sensible como fotografías, documentos personales, bases de datos de clientes o planes comerciales, por lo que un ataque exitoso puede resultar en robo de datos o instalación de ransomware, bloqueando el acceso hasta que se pague un rescate. Además, un NAS comprometido puede convertirse en un punto de lanzamiento para atacar otros dispositivos en la misma red.

Recomendaciones de QNAP

Para mitigar estos riesgos, QNAP recomienda a sus usuarios actualizar sus dispositivos a las últimas versiones del software, que contienen parches de seguridad cruciales. Además, se recomienda implementar mejores prácticas de seguridad, como:

• Uso de contraseñas seguras
• Mantener actualizaciones periódicas
• Limitar la exposición a Internet
• Realizar copias de seguridad regulares

Apreciación

La reciente vulnerabilidad descubierta en los dispositivos de almacenamiento conectado a la red (NAS) de QNAP es una señal de alerta para las organizaciones respecto a la importancia de la ciberseguridad en el entorno actual. Con tres vulnerabilidades principales que presentan altas puntuaciones en la escala CVSS (entre 7.5 y 10.0), estas fallas tienen el potencial de permitir la ejecución de comandos arbitrarios, eludir autenticaciones y comprometer datos sensibles.

La explotación de estas vulnerabilidades puede tener consecuencias devastadoras, incluyendo robo de información, instalación de ransomware y uso del NAS como plataforma para ataques en red. Estos riesgos exponen a las organizaciones a pérdidas financieras, interrupciones operativas y daños a la reputación.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar en el sitio de soporte de QNAP si su dispositivo posee las últimas actualizaciones disponibles en: https://www.qnap.com/en/product/status