PYMES: los sistemas NAS de Qnap en riesgo

2. agosto 2023
| No hay comentarios
Noticias cortas de seguridad cibernética B2B

Compartir publicación

El conocido fabricante de NAS QNAP reporta dos vulnerabilidades altamente peligrosas en sus productos de red y otra vulnerabilidad en su cliente de dispositivo VPN para Windows. Es posible un ataque remoto a través de las brechas: hay parches adecuados disponibles.

Las vulnerabilidades anunciadas por QNAP afectan a muchas aplicaciones utilizadas dentro de los productos de red. Los servicios también operan y funcionan en grandes sistemas NAS para el sector PYME. Por lo tanto, además de los sistemas o cámaras NAS de uso privado más pequeños, muchos productos de la empresa también se ven afectados por las brechas de seguridad.

Adquisición remota para ataque DoS posible

QNAP informa que una vulnerabilidad relacionada con el consumo descontrolado de recursos afecta a varios sistemas operativos de QNAP. Si se explota la vulnerabilidad, los usuarios remotos pueden lanzar un ataque de denegación de servicio (DoS). La vulnerabilidad aparece como CVE-2022-27600. No se conoce el valor CVSS exacto, pero debe estar en el rango de 7.0 a 8.9 para Altamente Peligroso.

La vulnerabilidad ya ha sido corregida en las siguientes versiones que están disponibles para actualizar:

  • QTS 5.0.1.2277 compilación 20230112 y posterior
  • QTS 4.5.4.2280 compilación 20230112 y posterior
  • QuTS hero h5.0.1.2277 compilación 20230112 y posterior
  • QuTS hero h4.5.4.2374 compilación 20230417 y posterior
  • QuTScloud c5.0.1.2374 compilación 20230419 y posterior
  • Dispositivo QVR Pro 2.3.1.0476 y posterior

Otra vulnerabilidad en el cliente de dispositivo QVPN

Además, QNAP informa de una vulnerabilidad en su QVPN Device Client para Windows. La vulnerabilidad también se considera altamente peligrosa según CVE-2022-27595. Allí, la carga de bibliotecas es insegura y puede afectar los dispositivos que ejecutan QVPN Device Client para Windows. Si se explota, esta vulnerabilidad podría permitir que los usuarios autenticados localmente ejecuten código cargando la biblioteca de forma no segura. El cliente de dispositivo QVPN para macOS, Android e iOS no se ve afectado por la vulnerabilidad.

También hay disponible una actualización para esta brecha:

QVPN Device Client para Windows, versión 2.0.0.1316 y superior

Más en QNAP.com

 

Artículos relacionados con el tema

Informe: 40 por ciento más de phishing en todo el mundo

El actual informe sobre spam y phishing de Kaspersky para 2023 habla por sí solo: los usuarios en Alemania buscan ➡ Leer más

BSI establece estándares mínimos para navegadores web

La BSI ha revisado el estándar mínimo para navegadores web para su administración y ha publicado la versión 3.0. puedes recordar eso ➡ Leer más

El malware sigiloso apunta a empresas europeas

Los piratas informáticos están atacando a muchas empresas de toda Europa con malware sigiloso. Los investigadores de ESET han informado de un aumento dramático en los llamados ataques AceCryptor a través de ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

Prueba: software de seguridad para terminales y PC individuales

Los últimos resultados de las pruebas del laboratorio AV-TEST muestran un rendimiento muy bueno de 16 soluciones de protección establecidas para Windows ➡ Leer más

FBI: Informe sobre delitos en Internet contabiliza daños por valor de 12,5 millones de dólares 

El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe sobre delitos en Internet de 2023, que incluye información de más de 880.000 ➡ Leer más

HeadCrab 2.0 descubierto

La campaña HeadCrab contra servidores Redis, que ha estado activa desde 2021, continúa infectando objetivos con éxito con la nueva versión. El miniblog de los delincuentes ➡ Leer más

Noticias cortas
, , , ,