QNAP publicó boletines de seguridad este fin de semana que abordan varias vulnerabilidades, incluidas tres fallas de gravedad crítica que los usuarios deben solucionar lo antes posible.
A partir de QNAP Notes Station 3, una aplicación de colaboración y toma de notas utilizada en sistemas NAS empresariales, las dos vulnerabilidades siguientes la afectan:
- CVE-2024-38643 – La falta de autenticación para funciones críticas podría permitir a atacantes remotos obtener acceso no autorizado y ejecutar funciones específicas del sistema. La falta de mecanismos de autenticación adecuados permite a los atacantes explotar esta falla sin credenciales previas, lo que puede llevar a un posible compromiso del sistema. (Puntuación CVSS v4: 9,3, «crítico»)
- CVE-2024-38645 – Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que podría permitir a atacantes remotos con credenciales enviar solicitudes diseñadas que manipulen el comportamiento del lado del servidor, exponiendo potencialmente datos confidenciales de las aplicaciones.
QNAP solucionó estos problemas en Notes Station 3 versión 3.9.7 y recomienda a los usuarios actualizar a esta versión o posterior para mitigar el riesgo. Las instrucciones de actualización son disponible en este boletín.
Las otras dos cuestiones enumeradas en el mismo boletín, CVE-2024-38644 Y CVE-2024-38646son problemas de acceso a datos y inyección de comandos no autorizados de alta gravedad (puntaje CVSS v4: 8.7, 8.4) que requieren acceso a nivel de usuario para explotar.
Defectos del enrutador Qu
El tercer defecto crítico solucionado por QNAP el sábado es CVE-2024-48860impactando los productos QuRouter 2.4.x, la gama de enrutadores seguros y de alta velocidad de QNAP.
La falla, calificada con 9.5 como «crítica» según CVSS v4, es una falla de inyección de comandos del sistema operativo que podría permitir a atacantes remotos ejecutar comandos en el sistema host.
QNAP también solucionó un segundo problema de inyección de comandos menos grave, rastreado como CVE-2024-48861con los dos problemas abordados en QuRouter versión 2.4.3.106.
Otras correcciones de QNAP
Otros productos que recibieron correcciones importantes este fin de semana son Núcleo de IA de QNAP (motor de IA), Centro QuLog (herramienta de gestión de registros), QTS (SO estándar para dispositivos NAS), y Héroes QuTS (versión avanzada de QTS).
A continuación se muestra un resumen de los defectos más importantes que se han solucionado en estos productos, con una calificación CVSS v4 entre 7,7 y 8,7 (alta).
- CVE-2024-38647: Problema de exposición de información que podría permitir a atacantes remotos acceder a datos confidenciales y comprometer la seguridad del sistema. La falla afecta a QNAP AI Core versión 3.4.x y se solucionó en la versión 3.4.1 y posteriores.
- CVE-2024-48862: Fallo de seguimiento de enlaces que podría permitir a atacantes remotos no autorizados atravesar el sistema de archivos y acceder o modificar archivos. Esto afecta a las versiones 1.7.x y 1.8.x de QuLog Center y se solucionó en las versiones 1.7.0.831 y 1.8.0.888.
- CVE-2024-50396 Y CVE-2024-50397: Manejo inadecuado de cadenas de formato controladas externamente, lo que podría permitir a los atacantes acceder a datos confidenciales o modificar la memoria. CVE-2024-50396 se puede explotar de forma remota para manipular la memoria del sistema, mientras que CVE-2024-50397 requiere acceso a nivel de usuario. Ambas vulnerabilidades se han solucionado en QTS 5.2.1.2930 y QuTS hero h5.2.1.2929.
Se recomienda encarecidamente a los clientes de QNAP que instalen actualizaciones lo antes posible para mantenerse protegidos contra posibles ataques.
Como siempre, los dispositivos QNAP nunca deben conectarse directamente a Internet, sino que deben implementarse detrás de una VPN para evitar la explotación remota de vulnerabilidades.
