lunes, 27 de septiembre de 2021

Dos vulnerabilidades críticas podrían permitir que los atacantes remotos ejecuten comandos en QNAP QVR

Los equipos de seguridad de QNAP anunciaron el lanzamiento de una nueva actualización para su sistema de administración de video QVR, incluyendo parches para abordar dos vulnerabilidades críticas que podrían ser explotadas con el fin de ejecutar comandos arbitrarios en las implementaciones afectadas.

QNAP es uno de los fabricantes de almacenamiento conectado a la red (NAS) más importantes del mundo, por lo que el alcance de este riesgo de seguridad es considerable. Sobre la solución afectada, expertos mencionan que QVR es un software para el monitoreo, grabación, reproducción y notificaciones de alarma de video en tiempo real para el uso en cámaras IP compatibles.

Los tres problemas corregidos por la compañía fueron descritos como fallas de inyección de comandos en QVR; dos de estos errores son considerados críticos y recibieron puntajes de 9.8/10 según el Common Vulnerability Scoring System (CVSS).

La explotación de estas dos fallas, identificadas como CVE-2021-34351 y CVE-2021-34348, permitiría a los actores de amenazas remotos ejecutar comandos en sistemas vulnerables para tomar control total de los dispositivos afectados. Un tercer error, identificado como CVE-2021-34349 podría ser explotado en condiciones similares pero se le considera un riesgo menor.

Los primeros dos errores mencionados se consideran críticos debido a que los hackers maliciosos no requieren permisos en el sistema objetivo, mientras que la explotación de la última vulnerabilidad requeriría permisos de administrador.

Además, QNAP menciona que los productos QVR afectados son aquellos que ya han llegado al final de su vida útil, por lo que eventualmente dejarán de estar activos en implementaciones reales. Aún así, la compañía decidió emitir un parche de seguridad pues, aunque es difícil determinar exactamente cuántos dispositivos sin soporte operan actualmente QNAP estima que una buena parte de sus clientes QVR seguirán usando versiones afectadas.

Al momento de redacción de este artículo aún se desconocían reportes de explotación activa de alguna de estas fallas, aunque la compañía no ha dejado de recomendar a sus clientes vulnerables instalar las actualizaciones.

La explotación de vulnerabilidades en esta clase de dispositivos ha incrementado considerablemente los últimos meses. A inicios de 2021 por ejemplo, expertos en ciberseguridad detectaron una campaña maliciosa desplegada por un grupo de hacking para cifrar sistemas críticos de pequeños y medianos negocios, exigiendo rescates de al menos $500 USD para remover la infección.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Dos vulnerabilidades críticas podrían permitir que los atacantes remotos ejecuten comandos en QNAP QVR apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario