QNAP soluciona una vulnerabilidad crítica en dispositivos NAS

La empresa QNAP ha publicado actualizaciones para corregir una vulnerabilidad crítica, identificada como CVE-2022-27596 con puntuación CVSS 9.8, que afecta a sus dispositivos de almacenamiento conectado a la red (NAS) y que podría conducir a la inyección de código arbitrario.

Se informó que esta vulnerabilidad afecta a los dispositivos QNAP que ejecutan:

• QTS 5.0.1.
• QuTS hero h5.0.1.

Los detalles técnicos exactos que rodean la vulnerabilidad no están especificados, pero la base de datos nacional de vulnerabilidades (NVD) del NIST la ha clasificado como una vulnerabilidad de inyección SQL.

El vector de ataque de un agente malicioso es enviar consultas SQL especialmente diseñadas de modo que pudieran ser armadas para eludir los controles de seguridad y acceder o alterar información valiosa.

Sin la eliminación o citación suficiente de la sintaxis SQL en las entradas controlables por el usuario, las consulta SQL resultante puede hacer que esas entradas se interpreten como SQL en lugar de datos de usuario normales. Esto se puede usar para cambiar la lógica de consulta para eludir las comprobaciones de seguridad o para insertar declaraciones adicionales que modifican la base de datos de back-end, posiblemente incluyendo la ejecución de comandos del sistema.

La pérdida de confidencialidad es un problema frecuente con las vulnerabilidades de inyección de SQL, comprometiendo la integridad de los datos ya que podrían leer esta información, realizar cambios o incluso eliminarla.

Ya se ha solucionado esta vulnerabilidad en las siguientes versiones del sistema operativo:

• QTS 5.0.1.2234 compilación 20221201 y posterior
• QuTS hero h5.0.1.2248 compilación 20221215 y posterior

Para actualizar sus dispositivos QTS o QuTS hero debe:

• Iniciar sesión en QTS o QuTS hero como administrador.
• Ir a Panel de control > Sistema > Actualización de firmware.
• En Live Update, hacer clic en buscar actualizaciones.

QTS y QuTS hero descarga e instala la última actualización automáticamente.

Para consultar las últimas actualizaciones, puede verificar el estado de soporte del producto.

Recomendaciones

• Actualizar regularmente a la última versión de su modelo NAS.

Referencias

• https://thehackernews.com/2023/01/qnap-fixes-critical-vulnerability-in.html
• https://www.qnap.com/en/security-advisory/qsa-23-01
• https://nvd.nist.gov/vuln/detail/CVE-2022-27596
• https://cwe.mitre.org/data/definitions/89.html