esenfrdeitptru

Una falla crítica en PHP expone los dispositivos NAS de QNAP a los ataques RCE

AS-060-2022

Fecha: 23/Jun/2022

Resumen:

QNAP ha advertido hoy a los clientes que algunos de sus dispositivos de almacenamiento conectado en red (NAS) (con configuraciones no predeterminadas) son vulnerables a ataques que explotarían una vulnerabilidad crítica de PHP de tres años de antigüedad, la cual permite la ejecución remota de código.

Versiones afectadas

Si tiene QNAP NAS ejecutando nginx y php-fpm, la vulnerabilidad afecta a las siguientes versiones de sistema operativo:

  • QTS 5.0.x
  • QTS 4.5.x
  • QuTS hero h5.0.x
  • QuTS hero h4.5.x
  • QuTScloud c5.0.x

Recomendación:

Actualizar: QTS, QuTS hero, o QuTScloud

  1. Login sobre QTS, QuTS hero, o QuTScloud como administrador.
  2. Vaya a Control Panel > System > Firmware Update.
  3. Bajo Live Update, click Check for Update.
  4. Instale la última version disponible.

Referencia:

https://www.bleepingcomputer.com/news/security/critical-php-flaw-exposes-qnap-nas-devices-to-rce-attacks/

https://www.qnap.com/en/security-advisory/QSA-22-20