Aviso de Vulnerabilidades en QNAP

Aviso de vulnerabilidades en QNAP

Aviso de Vulnerabilidades en QNAP

Hoy hemos recibido unos correos  dando aviso de vulnerabilidades en QNAP. Si tenéis un equipo de QNAP seguir las recomendaciones del fabricante para evitar sustos innecesarios. OS recomendamos visitar su pagina de soporte para estar informados. Os resumimos lo publicado en el día de hoy. Afortunadamente la VPN QBelt no se ha visto afectada, ya que hicimos un articulo hace poco al respecto.

Vulnerabilidad no resuelta en Ragic Cloud DB

Informamos que una vulnerabilidad reflejada de secuencias de comandos entre sitios (XSS) afecta al NAS de QNAP que ejecuta Ragic Cloud DB. Si se explota, esta vulnerabilidad permite a atacantes remotos inyectar código malicioso.

 

Ya hemos deshabilitado y eliminado Ragic Cloud DB del QNAP App Center, a la espera de un parche de seguridad de Ragic.

 

Recomendación

Para proteger su dispositivo, recomendamos desinstalar Ragic Cloud DB hasta que haya un parche de seguridad disponible.

 

Desinstalación de Ragic Cloud DB

  1. Inicie sesión en QTS o QuTS hero como administrador.
  2. Abra el Centro de aplicaciones .
  3. Busque Ragic Cloud DB y haga clic en 
  4. Seleccione Quitar .
    Aparece un mensaje de confirmación.
  5. Haga clic en Aceptar .
  6. QTS o QuTS hero desinstalan la aplicación.

Vulnerabilidad resuelta CSRF de QMailAgent.

Hay una vulnerabilidad de falsificación de solicitud entre sitios (CSRF) que afecta al NAS de QNAP que ejecuta QmailAgent. Si se explota, esta vulnerabilidad permite a los atacantes remotos engañar a la víctima para que realice acciones no deseadas en la aplicación web mientras la víctima está conectada.

 

Ya hemos solucionado esta vulnerabilidad en las siguientes versiones de QmailAgent:

 

  • QmailAgent 3.0.2 (2021/08/25) y posterior

 

Recomendación

Para corregir la vulnerabilidad, recomendamos actualizar QmailAgent a la última versión.

 

Actualización de QmailAgent

  1. Inicie sesión en QTS o QuTS hero como administrador.
  2. Abra el App Center y luego haga clic en .
    Aparece un cuadro de búsqueda.
  3. Escriba "QmailAgent" y luego presione ENTER .
    QmailAgent aparece en los resultados de la búsqueda.
  4. Haga clic en Actualizar .
    Aparece un mensaje de confirmación.
    Nota: El botón Actualizar no está disponible si su QmailAgent ya está actualizado.
  5. Haga clic en Aceptar .

 

Vulnerabilidad resuelta de desbordamiento de búfer basado en montón en QTS y QuTS hero

Se ha informado de una vulnerabilidad de desbordamiento de búfer basada en el montón que afecta a los dispositivos NAS de QNAP que tienen el Protocolo de archivo de Apple (AFP) habilitado en QTS o QuTS hero. Si se explota, esta vulnerabilidad permite a los atacantes ejecutar código arbitrario.

 

Ya hemos solucionado esta vulnerabilidad en las siguientes versiones de QTS y QuTS hero:

 

  1. QTS 5.0.0.1808 compilación 20211001 y posterior
  2. QTS 4.5.4.1800 compilación 20210923 y posterior
  3. QTS 4.3.6.1831 compilación 20211019 y posterior
  4. QTS 4.3.3.1799 compilación 20211008 y posterior
  5. QuTS hero h5.0.0.1844 compilación 20211105 y posterior
  6. QuTS hero h4.5.4.1813 compilación 20211006 y posterior

 

Recomendación

Para proteger su dispositivo, le recomendamos que actualice periódicamente su sistema a la última versión para beneficiarse de las correcciones de vulnerabilidades. Puede verificar el estado de soporte del  producto  para ver las últimas actualizaciones disponibles para su modelo de NAS.

 

Actualización de QTS o QuTS hero

  1. Inicie sesión en QTS o QuTS hero como administrador.
  2. Vaya a  Panel de control  >  Sistema  >  Actualización de firmware .
  3. En  Actualización en vivo , haga clic en  Buscar actualizaciones .
    QTS o QuTS hero descarga e instala la última actualización disponible.

Consejo:  también puede descargar la actualización desde el sitio web de QNAP. Vaya a  Soporte  >  Centro de descargas  y luego realice una actualización manual para su dispositivo específico.

Video de como formatear la BIOS de un NAS de QNAP

Os dejo con el video que hice sobre cómo formatear la BIOS de un NAS para actualizarlo.

En algunos casos es necesario flashear o actualizar la BIOS o el UEFI de un NAS para garantizar el buen funcionamiento de un componente como por ejemplo una tarjeta de expansión WiFi o de 10Gbps.
En el caso de la tarjeta WifI 6 PXE-W6-AX200 es necesario actualizar la BIOS de algunos NAS de QNAP