SISTEMAS AFECTADOS

• Dispositivos de QNAP que ejecutan QTS, QuTS hero y QuTScloud, en las versiones:
  • QTS 5.0.0.1716 compilación anterior a 20210701;
  • QTS 4.5.4.1715 compilación anterior a 20210630;
  • QTS 4.3.6.1750 compilación anterior a 20210730;
  • QTS 4.3.3.1693 compilación anterior a 20210624;
  • QuTS hero h4.5.4.1771 compilación anterior a 20210825;
  • QuTScloud compilación anterior a c4.5.6.1755.
• Dispositivos NAS de QNAP que ejecuten QUSBCAM2 en las versiones anteriores a:
  • QTS 4.5.4: QUSBCam2 1.1.4 (2021/07/30) ;
  • QTS 4.3.6: QUSBCam2 1.1.4 (2021/07/30);
  • QuTS hero h4.5.3: QUSBCam2 1.1.4 (2021/07/30).
• Dispositivos NAS de QNAP que ejecuten NVR Storage Expansion en versiones anteriores a NVR 1.0.6 (2021/08/03).
• QSW-M2116P-2T2S y QNAP switches ejecutando QuNetSwitch, en las versiones:
  • QSW-M2116P-2T2S 1.0.6 compilación anterior a 210713;
  • QGD-1600P: QuNetSwitch compilación anterior a 1.0.6.1509;
  • QGD-1602P: QuNetSwitch compilación anterior a 1.0.6.1509;
  • QGD-3014PT: QuNetSwitch compilación anterior a 1.0.6.1509.

DESCRIPCIÓN

Recientemente QNAP ha hecho publico la detección de cuatro vulnerabilidades que afectan sus dispositivos de red de tipo NAS y switches. De las vulnerabilidades identificadas, tres de ellas corresponden a tipo desbordamiento de buffer, en donde permitirían a un atacante hacer sobre escritura en el espacio de memoria y ejecutar código arbitrario. La cuarta vulnerabilidad corresponde a una falta de protección suficiente a credenciales, que permitirían a un atacante leer información confidencial de forma remota.

REFERENCIA

• https://www.qnap.com/en/security-advisory/qsa-21-33
• https://www.qnap.com/en/security-advisory/qsa-21-34
• https://www.qnap.com/en/security-advisory/qsa-21-36
• https://www.qnap.com/en/security-advisory/qsa-21-37

SOLUCIÓN

Se recomienda aplicar las actualizaciones a los dispositivos a la ultima versión disponible por parte del fabricante.