top of page
qnap.png

Estas vulnerabilidades de seguridad pueden hacer que su NAS de QNAP se vea comprometido.

¿Utiliza un NAS de QNAP? Asegúrese de que esté actualizado, ya que se han solucionado varias vulnerabilidades de seguridad críticas. Suponen una seria amenaza para su NAS y sus datos. Echemos un vistazo.

El pasado mes de marzo, ya publicamos un artículo sobre 3 fallas de seguridad críticas descubiertas en el sistema operativo utilizado por el NAS de QNAP. Resulta que otras 3 vulnerabilidades se mencionan ahora en este boletín de seguridad y que otra alerta menciona 2 fallos de seguridad descubiertos durante una edición del concurso de hacking Pwn2Own. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar comandos en el NAS, lo que podría permitirle comprometer el dispositivo.

​

Comencemos hablando de las tres vulnerabilidades de seguridad críticas discutidas en Esta página :

 

  • CVE-2024-27124:

La vulnerabilidad de inyección de comandos podría permitir a los usuarios ejecutar comandos en el sistema NAS, de forma remota, a través de la red. Se asocia a una puntuación CVSS de 7,5 sobre 10.

​

  • CVE-2024-32764:

La vulnerabilidad proporciona acceso a una función crítica del sistema sin autenticación y podría permitir a los usuarios estándar (sin privilegios elevados) acceder y utilizar ciertas funciones de forma remota. Esto está relacionado con el servicio myQNAPcloud Link. Se asocia a una puntuación CVSS de 9,9 sobre 10.

"Una falla en el control de autenticación en myQNAPcloud Link permite a un atacante no autenticado, mediante el envío de solicitudes específicamente falsificadas, acceder a ciertas funciones críticas", se lee en el Sitio web del CERT Santé.

​

  • CVE-2024-32766:

Esta vulnerabilidad de inyección de comandos podría permitir que un atacante no autenticado ejecute comandos arbitrarios en el sistema NAS, de forma remota, a través de la red. Se asocia con una puntuación CVSS de 10 sobre 10.

Además de estas 3 vulnerabilidades, aquí hay otras 2 vulnerabilidades de seguridad importantes parcheadas hace unos días por QNAP:

​

  • CVE-2023-51364, CVE-2023-51365:

Se trata de dos vulnerabilidades de "ruta transversal" que permiten a un atacante leer el contenido de los archivos protegidos y potencialmente exponer datos confidenciales a través de la red. Se asocian a una puntuación CVSS de 8,7 sobre 10.

¿Cómo protegerse?

Si usas Dropbox Sign, tendrás que cambiar tu contraseña lo antes posible y volver a configurar la aplicación MFA para que use una nueva clave TOTP para generar los códigos TOTP. Si utilizas esta contraseña en otros sitios, te recomendamos que la renueves también.

​

Por su parte, Dropbox ya ha tomado medidas para proteger las cuentas de sus usuarios: "En respuesta, nuestro equipo de seguridad ha restablecido las contraseñas de los usuarios, ha cerrado la sesión de todos los dispositivos en los que habían iniciado sesión en Dropbox Sign y está coordinando la rotación de todas las claves API y tokens OAuth."

​

Por último, como siempre, esté atento, ya que esta información podría utilizarse para configurar una campaña de phishing dirigida.

¿Qué versiones se ven afectadas?

A continuación se muestra una lista de las versiones afectadas, para cada sistema:

  • QTS 5.x y QTS 4.5.x

  • QuTS hero h5.x y QuTS hero h4.5.x

  • QuTScloud c5.x

  • myQNAPcloud 1.0.x

  • myQNAPcloud Link 2.4.x

bottom of page