El conocido fabricante de NAS QNAP reporta dos vulnerabilidades altamente peligrosas en sus productos de red y otra vulnerabilidad en su cliente de dispositivo VPN para Windows. Es posible un ataque remoto a través de las brechas: hay parches adecuados disponibles.
Las vulnerabilidades anunciadas por QNAP afectan a muchas aplicaciones utilizadas dentro de los productos de red. Los servicios también operan y funcionan en grandes sistemas NAS para el sector PYME. Por lo tanto, además de los sistemas o cámaras NAS de uso privado más pequeños, muchos productos de la empresa también se ven afectados por las brechas de seguridad.
Adquisición remota para ataque DoS posible
QNAP informa que una vulnerabilidad relacionada con el consumo descontrolado de recursos afecta a varios sistemas operativos de QNAP. Si se explota la vulnerabilidad, los usuarios remotos pueden lanzar un ataque de denegación de servicio (DoS). La vulnerabilidad aparece como CVE-2022-27600. No se conoce el valor CVSS exacto, pero debe estar en el rango de 7.0 a 8.9 para Altamente Peligroso.
La vulnerabilidad ya ha sido corregida en las siguientes versiones que están disponibles para actualizar:
- QTS 5.0.1.2277 compilación 20230112 y posterior
- QTS 4.5.4.2280 compilación 20230112 y posterior
- QuTS hero h5.0.1.2277 compilación 20230112 y posterior
- QuTS hero h4.5.4.2374 compilación 20230417 y posterior
- QuTScloud c5.0.1.2374 compilación 20230419 y posterior
- Dispositivo QVR Pro 2.3.1.0476 y posterior
Otra vulnerabilidad en el cliente de dispositivo QVPN
Además, QNAP informa de una vulnerabilidad en su QVPN Device Client para Windows. La vulnerabilidad también se considera altamente peligrosa según CVE-2022-27595. Allí, la carga de bibliotecas es insegura y puede afectar los dispositivos que ejecutan QVPN Device Client para Windows. Si se explota, esta vulnerabilidad podría permitir que los usuarios autenticados localmente ejecuten código cargando la biblioteca de forma no segura. El cliente de dispositivo QVPN para macOS, Android e iOS no se ve afectado por la vulnerabilidad.
También hay disponible una actualización para esta brecha:
QVPN Device Client para Windows, versión 2.0.0.1316 y superior
Más en QNAP.com