QNAP, un importante fabricante taiwanes de dispositivos NAS ha lanzado una importante actualización de seguridad que soluciona un fallo de seguridad crítico que afecta a sus dispositivos. El fallo, identificado como CVE-2022-27596, tiene una calificación de 9,8 sobre diez en el índice de riesgos, y afecta a QTS 5.0.1 y QuTS hero h5.0.1.
La vulnerabilidad, que permite una inyección de SQL, permitiría que un atacante podría enviar consultas SQL especialmente diseñadas de modo que pudieran ser armadas para eludir los controles de seguridad y acceder o alterar información valiosa.
Los dispositivos de QNAP se han convertido en un objetivo popular para los ciberdelincuentes en los últimos años. De hecho, fueron atacados por la variante de ransomware Deadbolt durante la mayor parte de 2022. Durante esa campaña, se cree que el grupo explotó una vulnerabilidad de día cero en el firmware de QNAP para cifrar y extorsionar a los clientes de todo el mundo. También trató de pedir rescate a QNAP cobrando al proveedor más de un millón por la clave maestra de descifrado y detalles sobre el fallo.
Para acceder al parche los clientes pueden descargar la actualización desde el sitio web de QNAP, a través de su Centro de descargas, o iniciar sesión en su QTS o QuTS hero como administrador, visitar Panel de control > Sistema > Firmware y luego «Buscar actualizaciones».
