Noticia compartida desde la página web redeszone.net
En las últimas semanas hemos visto algunas vulnerabilidades de seguridad que afectan a dispositivos QNAP y Synology. Son fallos que permiten a un atacante provocar bloqueos o ejecutar código arbitrario. Incluso podrían acceder al contenido de la memoria privada y robar contraseñas o información confidencial. Ahora bien, ¿han corregido estas vulnerabilidades? Lo cierto es que ambas marcas siguen trabajando en ello.
Sin actualizaciones para QNAP y Synology
Al tiempo de escribir este artículo, tanto QNAP como Synology continúan trabajando en lanzar lo antes posible actualizaciones para los usuarios que tengan NAS vulnerables a estos fallos de seguridad. Sin embargo aún no ha sido corregido y por tanto los equipos siguen en peligro.
En el caso de QNAP, hay dos fallos de seguridad registrados como CVE-2021-3711 y CVE-2021-3712. Estas vulnerabilidades afectan a dispositivos NAS que ejecutan QTS, QuTS hero, QuTScloud y HBS 3 Hybrid Backup Sync.
La primera vulnerabilidad se basa en el desbordamiento de búfer en el algoritmo SM2. Esto puede provocar bloqueos o la ejecución de código remoto. En el caso del segundo fallo, se debe al desbordamiento de búfer de lectura durante el procesamiento de cadenas ASN.1. Igualmente pueden usarlo para bloquear aplicaciones o acceder a la memoria privada.
Hay que tener en cuenta que se tratan de fallos de OpenSSL que afectan a los dispositivos QNAP. Desde OpenSSL ya han corregido el problema al lanzar OpenSSL 1.1.1l hace unos días. Sin embargo QNAP continúa trabajando en poder lanzar lo antes posible los parches para sus usuarios.