Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Vulnerabilidades en productos QNAP, ¡actualiza!

Fecha de publicación 06/11/2023
Importancia
5 - Crítica
Recursos Afectados
  • QTS, versiones anteriores a 5.0.1.2399.
  • QuTS hero, versiones anteriores a h5.0.1.2376.
  • QuTScloud, versiones anteriores a c5.0.1.2374.
  • Multimedia Console, versiones anteriores a 2.1.2.
  • Media Streaming add-on, versiones anteriores a 500.1.1.2.
Descripción

QNAP ha informado de dos vulnerabilidades de severidad crítica que afectan a sus productos QTS, QuTS hero, QuTScloud, Multimedia Console y Media Streaming add-on. De ser explotadas, estas vulnerabilidades podrían permitir a un atacante ejecutar código de manera remota a través de una red.

Solución

QNAP aconseja realizar actualizaciones periódicas a la versión más reciente del sistema para aprovechar las soluciones a vulnerabilidades existentes. Se puede verificar la disponibilidad de las últimas actualizaciones consultando el estado de soporte del producto.

Las vulnerabilidades han sido solucionadas para las versiones posteriores a las anteriormente mencionadas.

  • Para actualizar QTS es necesario seguir los siguientes pasos:
  1. Iniciar sesión en QTS como administrador.
  2. Acceder a Control Panel > System > Firmware Update.
  3. En Live Update hacer clic en Check for Update. El sistema descargará e instalará la última actualización disponible.

También se puede descargar la actualización desde el sitio web de QNAP accediendo a Support > Download Center y realizando una actualización manual para un dispositivo específico.

  • Actualización de la consola multimedia:
  1. Iniciar sesión en QTS como administrador.
  2. Abrir App Center y, a continuación, hacer clic en el icono de la lupa. Aparecerá un cuadro de búsqueda.
  3. Escribir "Multimedia Console" y, a continuación, presionar “ENTER”. La consola multimedia aparece en los resultados de búsqueda.
  4. Hacer clic en “Update”. Aparecerá un mensaje de confirmación. Nota: el botón “Update” no está disponible si la versión ya está actualizada.
  5. Hacer clic en “OK”. La aplicación se actualizará.

Es crucial mantener los sistemas consistentemente actualizados para incorporar las soluciones a las vulnerabilidades mencionadas en este aviso. Ignorar estas actualizaciones podría representar un riesgo serio para la seguridad, tanto de la empresa como de los usuarios individuales. Aprende más sobre una buena planificación de actualizaciones para tu negocio.

Las consecuencias de una brecha de seguridad podrían ser devastadoras. Establecer una política eficaz de gestión de incidentes de seguridad es clave para reducir los efectos en caso de un incidente adverso.

Detalle

Las vulnerabilidades detectadas podrían permitir a un atacante remoto ejecutar comandos en el sistema de un usuario o servidor a través de una red.

Este tipo de ataque podría realizarse sin necesidad de acceso físico al dispositivo afectado y, a menudo, sin necesidad de autenticación previa.

Los ataques de RCE (ejecución remota de código) son especialmente peligrosos porque otorgan al atacante el control sobre el sistema comprometido, permitiéndole realizar una gran variedad de actividades maliciosas.

 

Contenido realizado en el marco de los fondos del  Plan de Recuperación, Transformación y Resiliencia  del Gobierno de España, financiado por la Unión Europea (Next Generation).