Especialistas en ciberseguridad reportan la detección de una vulnerabilidad crítica afectando QNAP QTS y QNAP QuTS hero, dos versiones del sistema operativo para equipos de almacenamiento conectado en red (NAS) desarrollados por QNAP.
En el reporte, la falla fue descrita como un desbordamiento de búfer basado en montón que existe debido a un error de límite cuando Apple File Protocol (AFP) está habilitado. Los actores de amenazas remotos podrían pasar datos especialmente diseñados a las aplicaciones afectadas para desencadenar el error y ejecutar código remoto en el sistema afectado.
Esta es una vulnerabilidad de alta severidad y su explotación exitosa permitiría el compromiso total de los sistemas expuestos. La falla recibió un puntaje de 8.5/10 según el Common Vulnerability Scoring System (CVSS) y aún no recibe clave de identificación CVE.
Según la alerta de seguridad, las fallas residen en las siguientes versiones de los productos vulnerables:
- QNAP QTS: anteriores a 4.3.3.1799 20211008, 4.3.6.1831 20211019, 4.5.4.1800 20210923 y 5.0.0.1808 20211001
- QuTS hero: anteriores a h4.5.4.1813 compilación 20211006 y h5.0.0.1844 compilación 20211105
Aunque la falla puede ser explotada por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.