El proveedor de soluciones de red y almacenamiento QNAP, que tiene proveedores de servicios de TI, como Accenture, Cognizant e Infosys entre sus clientes, les pide urgentemente a sus clientes que corrijan las fallas críticas de gravedad que afectan sus servicios de almacenamiento de red (almacenamiento de red, NAS) y enrutador. Los defectos, que resultan de una falla en la autenticación y la inyección de control en el hueso, podrían permitir que los atacantes distantes ejecutaran órdenes arbitrarias en los sistemas afectados. "Se han informado múltiples vulnerabilidades en las notas de la estación 3 y el Corán", dijo QNAP en las opiniones de seguridad publicadas recientemente. "Para corregir las fallas, recomendamos actualizar las notas de la estación 3, (y el firmware Qurouer) a las últimas versiones.» »

Índice
  1. Vulnerabilidades críticas en las notas de la estación 3 para NAS
  2. Defectos en los enrutadores y el hueso

Vulnerabilidades críticas en las notas de la estación 3 para NAS

Una vulnerabilidad del defecto de autenticación, referenciado CVE-2024-38643, que afecta una función crítica en las notas de la estación 3, la aplicación de notas y la colaboración de QNAP para sus periféricos NAS, podría facilitar el acceso sin autorización a sistemas vulnerables a un atacante distante. La vulnerabilidad, cuyo puntaje de gravedad CVSS V3 es 9.8 de 10, se refiere a las versiones 3.9.x de las notas de la estación 3. Fue corregido en las versiones 3.9.7 y posteriores. Además de los proveedores de servicios de TI, varias empresas en los sectores de salud, salud y educación utilizan los servicios de QNAP NAS para el almacenamiento de datos confidenciales.

Las mismas versiones de la aplicación se ven afectadas por otro defecto llamado falsificación de solicitudes en el lado del servidor o falsificación de solicitudes (SSRF), con la referencia CVE-2024-38645. Esto permite a los jugadores remotos con acceso de compromiso, vinculados a la otra vulnerabilidad, leer todos los datos de la aplicación. El defecto tiene un puntaje de gravedad CVSS V4 de 9.4 de 10. La misma opinión también indica que una vulnerabilidad de inyección de pedido, a referencia CVE-2024-38644, puede conducir a la ejecución de código arbitrario en sistemas vulnerables. Este defecto recibió una nota de alta gravedad (puntaje CVSS V3 de 8.8 de 10), pero con los otros dos fallas, el atacante podría tomar el control completo del sistema, lo que justifica la corrección inmediata de este conjunto crítico de errores descubiertos en la estación de notas 3.

Defectos en los enrutadores y el hueso

En una opinión separada publicada aproximadamente al mismo tiempo, QNAP advirtió a sus clientes un defecto crítico que afecta a sus periféricos de red de la serie de Quoutter y el sistema operativo dedicado. Utilizados por individuos y por empresas, estos enrutadores ofrecen funciones de gestión de redes, seguridad y optimización de rendimiento. Haga referencia a CVE-2024-48860, la falla en el Quruteros es una vulnerabilidad de inyección de orden que los atacantes remotos podrían operar para ejecutar órdenes en el sistema de host. La falla, descrita como alta gravedad, su puntaje CVSS es 7.8, afecta el 2.4.x de las versiones del consumo. "Fue corregido en Quoutter 2.4.3.106 y versiones posteriores", según la opinión de la compañía. Finalmente, se ha corregido una última violación que hace referencia a CVE-2024-48861, que afecta las mismas versiones de Quoutter.