Múltiples vulnerabilidades en QNAP Video Station y QTS/QuTS hero

Fecha de publicación 10/09/2024
Importancia
5 - Crítica
Recursos Afectados
  • Video Station, versiones anteriores a la versión 5.8.2;
  • QTS, versiones anteriores a la versión 5.1.8.2823;
  • QuTS hero, versiones anteriores a la versión h5.1.8.2823.
Descripción

Se han identificado 5 vulnerabilidades de severidad importante en QNAP Video Station y en los sistemas operativos QTS y QuTS hero de QNAP. Las vulnerabilidades detectadas podrían permitir a un atacante remoto ejecutar comandos arbitrarios o inyectar código malicioso.

Solución

QNAP ha publicado actualizaciones que corrigen las vulnerabilidades descritas en este aviso. Se recomienda a los usuarios actualizar lo antes posible QNAP Video Station y los sistemas QTS o QuTS hero a las últimas versiones disponibles.

Actualización de Video Station

  1. Iniciar sesión en QTS o QuTS hero como administrador.
  2. Abrir App Center y, a continuación, hacer clic en el icono de la lupa. Aparecerá un cuadro de búsqueda.
  3. Escribir "Video Station" y presionar ENTER. Video Station aparecerá en los resultados de búsqueda.
  4. Hacer clic en Update. Aparecerá un mensaje de confirmación. Nota: El botón Update no estará disponible si ya está actualizada.
  5. Hacer clic en OK.


Actualización de QTS o QuTS hero

  1. Iniciar sesión en QTS o QuTS hero como administrador.
  2. Acceder a Control panel > System > Firmware Update.
  3. En Live Update, hacer clic en Check for Update. El sistema descargará e instalará la última actualización disponible.

También puedes descargar la actualización desde el sitio web de QNAP, haciendo clic en Support >Download Center y realizando una actualización manual para el dispositivo específico.

Recuerda mantener los sistemas actualizados para proteger tu empresa de este y otro tipo de vulnerabilidades. Descarga software solo de fuentes confiables y evita abrir archivos o ejecutar aplicaciones de fuentes desconocidas que podrían contener malware.
 

Detalle

Las vulnerabilidades descritas en este aviso son del tipo inyección de comandos en el sistema operativo e inyección de código SQL malicioso. 

Una explotación exitosa de las mismas podría permitir a un ciberdelincuente ejecutar código no autorizado. Este tipo de ataques son posibles cuando una aplicación pasa entradas del usuario directamente a funciones del sistema operativo (por ejemplo, para ejecutar comandos de shell) sin una validación adecuada o cuando la aplicación permite a los atacantes acceder, modificar o eliminar información en una base de datos, incluso obtener acceso no autorizado a la misma.

Se ha reportado, además, una vulnerabilidad de desbordamiento de búfer que podría permitir a los ciberdelincuentes obtener acceso de usuario al sistema.
 

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).