QNAP ha lanzado parches de seguridad para un segundo error de día cero explotado por investigadores de seguridad durante la competencia de piratería Pwn2Own de la semana pasada.
Esta vulnerabilidad crítica de inyección SQL (SQLi), rastreada como CVE-2024-50387se encontró en el servicio SMB de QNAP y ahora está solucionado en las versiones 4.15.002 o posteriores y h4.15.002 y posteriores.
La falla de día cero se solucionó una semana después de permitir que YingMuo (que trabaja con el programa de pasantías DEVCORE) obtuviera un shell raíz y intercambiar un dispositivo NAS QNAP TS-464 en Pwn2Own Irlanda 2024.
El martes, la compañía parchó otro día cero en su solución de copia de seguridad de datos y recuperación ante desastres HBS 3 Hybrid Backup Sync, aprovechada por el equipo de Viettel Cyber Security en Pwn2Own para ejecutar comandos arbitrarios y piratear un dispositivo NAS TS-464.
El equipo Viettel ganó Pwn2Own Ireland 2024 después de cuatro días de competencia, durante los cuales se otorgaron más de 1 millón de dólares en premios a los piratas informáticos que demostraron más de 70 vulnerabilidades únicas de día cero.
Aunque QNAP parchó ambas vulnerabilidades en una semana, los proveedores normalmente se toman su tiempo para lanzar parches de seguridad después de la competencia Pwn2Own, dado que tienen 90 días antes de que la iniciativa Zero Day de Trend Micro publique detalles de los errores revelados durante la competencia.
Para actualizar el software en su dispositivo NAS, inicie sesión en QuTS hero o QTS como administrador, vaya al Centro de aplicaciones, busque “Servicio SMB” y haga clic en “Actualizar”. Este botón no estará disponible si el software ya está actualizado.
Se recomienda encarecidamente aplicar parches rápidamente, ya que los dispositivos QNAP son objetivos populares para los ciberdelincuentes, ya que se utilizan comúnmente para realizar copias de seguridad y almacenar archivos personales confidenciales. Esto los convierte en blancos fáciles para la instalación de malware que roba información y en una ventaja ideal para obligar a las víctimas a pagar un rescate para recuperar sus datos.
Por ejemplo, en junio de 2020, QNAP advirtió sobre los ataques de ransomware eCh0raix, que explotaban vulnerabilidades en la aplicación Photo Station para piratear y cifrar dispositivos NAS de QNAP.
QNAP también alertó a los clientes en septiembre de 2020 sobre los ataques de ransomware AgeLocker dirigidos a dispositivos NAS expuestos públicamente que ejecutan versiones anteriores y vulnerables de Photo Station. En junio de 2021, eCh0raix (QNAPCrypt) regresó con nuevos ataques que explotaban vulnerabilidades conocidas y forzaban cuentas NAS mediante fuerza bruta utilizando contraseñas débiles.
Otros ataques recientes dirigidos a dispositivos QNAP incluyen las campañas de ransomware DeadBolt, Checkmate y eCh0raix, que explotaron varias vulnerabilidades de seguridad para cifrar datos en dispositivos NAS expuestos a Internet.