Dispositivos de almacenamiento QNAP sin parches expuestos a ransomware
La empresa de seguridad Censys ha advertido de que hasta 29.000 dispositivos de almacenamiento en red fabricados por la empresa taiwanesa QNAP son vulnerables a ataques de inyección SQL de fácil ejecución, que otorgan el control total a usuarios de Internet no autentificados.
La vulnerabilidad CVE-2022-27596 tiene una puntuación de 9,8 sobre 10 posibles en la escala de puntuación CVSS. Existe un problema con QTS 5.0.1 y QuTS Hero h5.0.1. El impacto del fallo, que inicialmente se pensó que exponía a 30.000 dispositivos de almacenamiento conectados a la red (NAS) de QNAP a ataques, probablemente fue exagerado. Los investigadores creen ahora que el fallo de inyección de código arbitrario de QNAP plantea poco riesgo para los usuarios de QNAP, con una puntuación CVSS de 9,8.
La entrada de la vulnerabilidad en la Base de Datos Nacional de Vulnerabilidades del NIST revela que el fallo puede permitir a los atacantes ejecutar un ataque de inyección SQL debido a una "neutralización inadecuada de los elementos especiales utilizados en un comando SQL", según el aviso de QNAP.
Según Censys, los diez principales países con hosts que ejecutan versiones vulnerables de QNAP son Estados Unidos, Italia, Taiwán, Alemania, Japón, Francia, Hong Kong, Corea del Sur, Reino Unido y Polonia. Además, los investigadores basaron sus hallazgos en lo que QNAP publicó en su archivo adjunto codificado en JSON, así como en el aviso NVD del NIST.
Se desconocen los detalles técnicos exactos del fallo, pero la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST lo ha clasificado como una vulnerabilidad de inyección SQL. Las inyecciones permiten modificar, robar o borrar datos, así como obtener control administrativo sobre los sistemas que ejecutan las aplicaciones vulnerables.
QNAP publicó instrucciones para la aplicación de parches, pero la investigación de Censys descubrió que sólo el 2% de los 67.415 dispositivos habían sido parcheados, lo que hace temer que las campañas de ransomware, como las de Deadbolt, puedan aprovecharse de esta vulnerabilidad y causar graves daños.
Se recomienda a los usuarios que inicien sesión como administradores en QTS o QuTS hero, accedan a Panel de control > Sistema > Actualización de firmware y seleccionen "Buscar actualización" en la sección "Actualización en directo".
Las fuentes de este artículo incluyen un artículo en ArsTechnica.