Múltiples vulnerabilidades en QNAP Video Station y QTS/QuTS hero
- Video Station, versiones anteriores a la versión 5.8.2;
- QTS, versiones anteriores a la versión 5.1.8.2823;
- QuTS hero, versiones anteriores a la versión h5.1.8.2823.
Se han identificado 5 vulnerabilidades de severidad importante en QNAP Video Station y en los sistemas operativos QTS y QuTS hero de QNAP. Las vulnerabilidades detectadas podrían permitir a un atacante remoto ejecutar comandos arbitrarios o inyectar código malicioso.
QNAP ha publicado actualizaciones que corrigen las vulnerabilidades descritas en este aviso. Se recomienda a los usuarios actualizar lo antes posible QNAP Video Station y los sistemas QTS o QuTS hero a las últimas versiones disponibles.
Actualización de Video Station
- Iniciar sesión en QTS o QuTS hero como administrador.
- Abrir App Center y, a continuación, hacer clic en el icono de la lupa. Aparecerá un cuadro de búsqueda.
- Escribir "Video Station" y presionar ENTER. Video Station aparecerá en los resultados de búsqueda.
- Hacer clic en Update. Aparecerá un mensaje de confirmación. Nota: El botón Update no estará disponible si ya está actualizada.
- Hacer clic en OK.
Actualización de QTS o QuTS hero
- Iniciar sesión en QTS o QuTS hero como administrador.
- Acceder a Control panel > System > Firmware Update.
- En Live Update, hacer clic en Check for Update. El sistema descargará e instalará la última actualización disponible.
También puedes descargar la actualización desde el sitio web de QNAP, haciendo clic en Support >Download Center y realizando una actualización manual para el dispositivo específico.
Recuerda mantener los sistemas actualizados para proteger tu empresa de este y otro tipo de vulnerabilidades. Descarga software solo de fuentes confiables y evita abrir archivos o ejecutar aplicaciones de fuentes desconocidas que podrían contener malware.
Las vulnerabilidades descritas en este aviso son del tipo inyección de comandos en el sistema operativo e inyección de código SQL malicioso.
Una explotación exitosa de las mismas podría permitir a un ciberdelincuente ejecutar código no autorizado. Este tipo de ataques son posibles cuando una aplicación pasa entradas del usuario directamente a funciones del sistema operativo (por ejemplo, para ejecutar comandos de shell) sin una validación adecuada o cuando la aplicación permite a los atacantes acceder, modificar o eliminar información en una base de datos, incluso obtener acceso no autorizado a la misma.
Se ha reportado, además, una vulnerabilidad de desbordamiento de búfer que podría permitir a los ciberdelincuentes obtener acceso de usuario al sistema.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).