Recientemente, QNAP Systems ha emitido alertas de seguridad relacionadas con dos vulnerabilidades que afectan tanto al cliente de dispositivo QVPN para Windows como a diversos sistemas operativos de QNAP. Estas vulnerabilidades se consideran de gran importancia, ya que podrían ser utilizadas de manera malintencionada para obtener acceso no autorizado a su dispositivo o red.
Detalle de vulnerabilidades
- CVE-2022-27595 → Puntaje base CVSS: 7.8 (alta)
Una vulnerabilidad que afecta al cliente de dispositivos QVPN para Windows. Su origen radica en la carga de la biblioteca y se considera un problema de alto riesgo debido a su capacidad para permitir que usuarios autenticados ejecuten código remoto de manera malintencionada.
Es crucial destacar que únicamente las versiones de Windows del cliente de dispositivos QVPN se ven comprometidas por este problema. Las versiones macOS, Android e iOS del software no son vulnerables a esta amenaza.
- CVE-2022-27600 → Puntaje base CVSS: 6.8 (media)
Esta falla de seguridad representa una amenaza para diversos sistemas operativos de QNAP, que incluyen QTS, QuTS Hero, QuTScloud y QVP (dispositivos QVR Pro). La cual permite el consumo no controlado de recursos, lo que puede dar lugar a potenciales ataques de denegación de servicio (DoS) llevados a cabo por usuarios remotos.
Versiones afectadas
| Productos | CVE Identificador | Versión afectada | Versión parchada |
| QVPN Device Client (Windows) | CVE-2022-27595 | Anterior a 2.0.0.1316 | 2.0.0.1316 y posteriores. |
| QTS | CVE-2022-27600 | Anterior a 5.0.1.2277 compilación 20230112. Anterior a 4.5.4.2280 compilación 20230112 | 5.0.1.2277 compilación 20230112 y posteriores. 4.5.4.2280 compilación 20230112 y posteriores. |
| QuTS hero | CVE-2022-27600 | Anterior a h5.0.1.2277 compilación 20230112 Anterior a h4.5.4.2374 compilación 20230417 | h5.0.1.2277 compilación 20230112 y posteriores. h4.5.4.2374 compilación 20230417 y posteriores. |
| QuTScloud | CVE-2022-27600 | Anterior a c5.0.1.2374 compilación 20230419 | c5.0.1.2374 compilación 20230419 y posteriores. |
| Dispositivo QVR Pro | CVE-2022-27600 | Anterior a 2.3.1.0476 | 2.3.1.0476 y posteriores. |
Solución
Actualizar a las versiones antes descritas que corrigen las vulnerabilidades.
Recomendación
Para salvaguardar la seguridad de su dispositivo, es recomendable que mantenga su sistema actualizado con la última versión, ya que esto le permitirá beneficiarse de las correcciones de vulnerabilidades.
Puede comprobar la disponibilidad de las últimas actualizaciones para sus dispositivos QNAP verificando el estado de soporte del producto.
Para actualizar QTS, QuTS Hero o QuTScloud, siga los siguientes pasos:
- Inicie sesión en QTS, QuTS Hero o QuTScloud como administrador.
- Vaya a «Panel de control» > «Sistema» > «Actualización de firmware».
- En «Live Update», haga clic en «Buscar actualizaciones».
- El sistema descargará e instalará la última actualización disponible.
También puede realizar una actualización manual descargando la actualización desde el sitio web de QNAP. Diríjase a «Soporte» > «Centro de descargas» y siga las instrucciones para actualizar su dispositivo específico.
Para actualizar dispositivos QVR Pro (QVP), siga estos pasos:
- Inicie sesión en QVP como administrador.
- Vaya a «Panel de control» > «Configuración del sistema» > «Actualización de firmware».
- Seleccione la pestaña «Actualización de firmware».
- Haga clic en «Examinar…» para cargar el archivo de firmware más reciente.
- Haga clic en «Actualizar sistema».
- El sistema instalará la actualización de manera automática.
Recuerde descargar el archivo de firmware más actualizado para su dispositivo específico desde el sitio web oficial.
Referencias