QNAP ha abordado una vulnerabilidad de seguridad crítica en la aplicación Surveillance Station que permite a los atacantes ejecutar código malicioso de forma remota en dispositivos de almacenamiento conectados a la red (NAS) que ejecutan el software vulnerable.Surveillance Station es el sistema de gestión de vídeo (VMS) de vigilancia en red de QNAP, una solución de software que puede ayudar a los usuarios a gestionar y supervisar hasta 12 cámaras IP.
Es una aplicación estándar del Turbo NAS compatible con más de 3000 modelos de cámaras IP y se puede instalar desde el QTS App Center de la empresa.
Error crítico de RCE corregido en las últimas versiones de la aplicación
La falla de seguridad crítica reparada hoy por QNAP es una vulnerabilidad de desbordamiento de búfer basada en pilas que afecta a los dispositivos NAS de QNAP que ejecutan Surveillance Station.
“Si se explota, esta vulnerabilidad permite a los atacantes ejecutar código arbitrario”, explica QNAP en un aviso de seguridad de hoy.
Al explotarlo con éxito para la ejecución de código arbitrario, los atacantes también subvertirán regularmente cualquier servicio de seguridad o soluciones anti-malware que se ejecuten en el dispositivo comprometido.
QNAP ya ha solucionado la vulnerabilidad crítica en las siguientes versiones de software:
- Surveillance Station 5.1.5.4.3 (y posterior) para ARM CPU NAS (sistema operativo de 64 bits) y CPU NAS x86 (sistema operativo de 64 bits)
- Surveillance Station 5.1.5.3.3 (y posterior) para ARM CPU NAS (sistema operativo de 32 bits) y CPU NAS x86 (sistema operativo de 32 bits)
La compañía también ha parcheado una vulnerabilidad de secuencia de comandos entre sitios (XSS) de gravedad media que afecta a versiones anteriores de la aplicación Photo Station utilizada para cargar imágenes en el dispositivo NAS de QNAP, crear álbumes o verlos de forma remota.
“Si se explota, esta vulnerabilidad permite a atacantes remotos inyectar código malicioso”, según QNAP . El error de seguridad se solucionó en Photo Station 6.0.11 y versiones posteriores.
Cómo actualizar a las últimas versiones
Dadas las calificaciones de gravedad de las vulnerabilidades, los clientes deben actualizar ambas aplicaciones a las últimas versiones disponibles lo antes posible.
Para hacerlo, debe iniciar sesión en sus dispositivos NAS como administrador y usar el App Center para buscar actualizaciones de la aplicación.
Para actualizar Surveillance Station y Photo Station en su NAS, debe seguir los siguientes pasos:
- Inicie sesión en QTS como administrador.
- Abra el App Center y luego haga clic en
. Aparece un cuadro de búsqueda. - Escriba “Surveillance Station” y “Photo Station”, y luego presione ENTER . La aplicación aparece en los resultados de la búsqueda.
- Haga clic en Actualizar . Aparece un mensaje de confirmación. Nota: el botón Actualizar no está disponible si está utilizando la última versión.
- Haga clic en Aceptar . La aplicación está actualizada.
. Aparece un cuadro de búsqueda.
Los dispositivos NAS son objetivos atractivos
Los dispositivos NAS a menudo son el objetivo de atacantes que desean robar documentos confidenciales o implementar malware que roba información, ya que se usan comúnmente para hacer copias de seguridad y compartir archivos confidenciales.
QNAP alertó a los clientes en septiembre de 2020 de una campaña de ransomware AgeLocker dirigida a dispositivos NAS expuestos a Internet en ataques que explotan versiones más antiguas y vulnerables de Photo Station.
Anteriormente, también advirtió sobre ataques de ransomware eCh0raix dirigidos a otra serie de fallas de seguridad de la aplicación Photo Station a partir de junio de 2020.
360 Netlab de Qihoo 360 también dijo en agosto que los atacantes estaban buscando dispositivos NAS vulnerables que intentaban explotar una vulnerabilidad de firmware de ejecución remota de código (RCE) solucionada hace más de tres años, en julio de 2017.
Fuente: bleepingcomputer.com.