Vulnerabilidad crítica de PHP expone los dispositivos NAS de QNAP a ataques remotos

QNAP, el fabricante taiwanés de dispositivos de almacenamiento conectado a la red (NAS), dijo el miércoles que está en el proceso de corregir una vulnerabilidad PHP crítica de tres años que podría ser objeto de abuso para lograr la ejecución remota de código.

Nginx

Es un servidor web de código abierto que, desde su éxito inicial como servidor web, ahora también es usado como proxy inverso, cache de HTTP, y balanceador de carga. Nginx está diseñado para ofrecer un bajo uso de memoria y alta concurrencia. En lugar de crear nuevos procesos para cada solicitud web, Nginx usa un enfoque asincrónico basado en eventos donde las solicitudes se manejan en un solo hilo.

PHP-FMP

PHP-FPM es la implementación alternativa más popular de PHP FastCGI, que cuenta con características adicionales realmente útiles para sitios web de alto tráfico como :

  • Gestión avanzada que permite detener/arrancar procesos fácilmente.
  • Posibilidad de iniciar hilos de procesos con diferentes uid/gid/chroot/environment y distintos php.ini; sustituye a safe_mode.
  • Registro stdout y stderr.
  • Reinicio de emergencia en caso de destrucción accidental del caché opcode.
  • Soporte acelerado de subidas.

Impacto de la vulnerabilidad

La vulnerabilidad, rastreada como CVE-2019-11043, tiene una calificación de 9,8 sobre 10 en cuanto a gravedad en el sistema de calificación de vulnerabilidad CVSS. Si se explota, la vulnerabilidad permite a los atacantes obtener la ejecución remota de código. Dicho esto, si su NAS de QNAP ejecuta nginx y php-fpm, la vulnerabilidad afecta a las siguientes versiones del sistema operativo de QNAP:

  • QTS 5.0.x
  • QTS 4.5.x
  • QuTS hero h5.0.x
  • QuTS hero h4.5.x
  • QuTS cloud c5.0.x

La alerta llega una semana después de que QNAP revelara que está investigando a fondo otra ola de ataques de ransomware DeadBolt dirigidos a dispositivos NAS de QNAP que ejecutan versiones obsoletas de QTS 4.x.

Productos afectados

Esto afecta a las versiones de PHP 7.1.x anteriores a 7.1.33, 7.2.x anteriores a 7.2.24 y 7.3.x anteriores a 7.3.11 con una configuración de nginx incorrecta.

Actualmente ya se ha solucionado las siguientes versiones:

  • QTS 5.0.1.2034 compilación 20220515 y posterior.
  • QuTS hero h5.0.0.2069 compilación 20220614 y posterior.

Verificación de últimas actualizaciones

Para verificar la actualización de QTS, QuTS hero o QuTScloud se debe hacer lo siguiente :

  1. Iniciar sesión en QTS, QuTS hero o QuTScloud como administrador.
  2. Ir a Control Panel > System > Firmware Update.
  3. En Live Update hacer click en Check for Update.

QTS, QuTS hero o QuTScloud descargará e instalará la última actualización disponible.

Recomendaciones

  • Además de instar a los clientes a actualizar a la versión más reciente de los sistemas operativos QTS o QuTS hero, también recomienda que los dispositivos no estén expuestos a Internet.
  • Verificar el estado de soporte del producto para ver las últimas actualizaciones disponibles para su modelo NAS.
  • Si su NAS ya ha sido comprometido, tome la captura de pantalla de la nota de rescate para mantener la dirección de bitcoin, luego actualice a la última versión de firmware y la aplicación de eliminación de malware integrada pondrá automáticamente en cuarentena la nota de rescate que secuestra la página de inicio de sesión.

Para mayor información