Múltiples vulnerabilidades en productos QNAP

03/05/2024 Noticias 0

Se han reportado múltiples vulnerabilidades críticas en los sistemas operativos QTS, QuTS hero, QuTScloud, myQNAPcloud y myQNAPcloud Link de QNAP.

Productos o ítems afectados:

  • QTS 5.x y 4.5.x
  • QuTS hero h5.x y h4.5.x
  • QuTScloud c5.x
  • myQNAPcloud 1.0.x
  • myQNAPcloud Link 2.4.x

Impacto de la vulnerabilidad:

  • CVE-2024-32764: Vulnerabilidad del tipo inyección de comandos en el sistema operativo (OS command injection), la explotación de esta vulnerabilidad por parte de un actor malicioso podría permitirle ejecutar comandos de forma remota en el sistema afectado. Se asignado una puntuación de 9.9 en CVSSv3 con una severidad crítica.
  • CVE-2024-32766: Vulnerabilidad de inyección de comandos del sistema operativo (OS command injection) ha sido reportada y afecta a varias versiones del sistema operativo QNAP. Se asignado una puntuación de 10 en CVSSv3 con una severidad crítica.
  • CVE-2024-21899: Se ha reportado una vulnerabilidad del tipo omisión de autenticación, se asigno una puntuación de 9.8 en CVSSv3 con una severidad crítica, la explotación exitosa de esta por parte de actor malicioso podría concederle acceso con elevados privilegios al dispositivo afectado a través de la red.
  • CVE-2024-21900: Vulnerabilidad del tipo inyección de comandos (OS command injection) que afecta a varias versiones del sistema operativo de QNAP, se ha asignado una puntuación de 4.3 en CVSSv3 con una severidad media. La explotación de esta vulnerabilidad por parte de un actor malicioso podría permitirle ejecutar comandos de forma remota en el sistema afectado.
  • CVE-2024-27124: Vulnerabilidad de inyección de comandos (OS command injection) en el sistema operativo que afecta a varias versiones del sistema operativo de QNAP. Se ha asignado una puntuación de 7.5 en CVSSv3 con una severidad alta. La explotación de esta vulnerabilidad por parte de un actor malicioso podría permitirle ejecutar comandos de forma remota en el sistema afectado.

Estas vulnerabilidades, de ser explotadas exitosamente, podrían permitir a un actor malicioso, obtener acceso no autorizado al sistema, ejecutar código malicioso, inyectar comandos y acceder a funciones críticas del sistema sin autenticación.

Recomendación:

Se recomienda a los usuarios de estos productos QNAP actualizar sus sistemas a las versiones más recientes, que incluyen las correcciones para estas vulnerabilidades.

Enlaces de referencia:

  • https://www.qnap.com/en/security-advisory/qsa-24-09
  • https://github.com/advisories/GHSA-j64h-79xv-rx9g
  • https://nvd.nist.gov/vuln/detail/CVE-2024-32764
  • https://github.com/advisories/GHSA-w88f-3vrf-56wm
Compartir: