¿Han corregido ya QNAP y Synology los fallos de seguridad en los NAS?

En las últimas semanas hemos visto algunas vulnerabilidades de seguridad que afectan a dispositivos QNAP y Synology. Son fallos que permiten a un atacante provocar bloqueos o ejecutar código arbitrario. Incluso podrían acceder al contenido de la memoria privada y robar contraseñas o información confidencial. Ahora bien, ¿han corregido estas vulnerabilidades? Lo cierto es que ambas marcas siguen trabajando en ello.

Sin actualizaciones para QNAP y Synology

Al tiempo de escribir este artículo, tanto QNAP como Synology continúan trabajando en lanzar lo antes posible actualizaciones para los usuarios que tengan NAS vulnerables a estos fallos de seguridad. Sin embargo aún no ha sido corregido y por tanto los equipos siguen en peligro.

En el caso de QNAP, hay dos fallos de seguridad registrados como CVE-2021-3711 y CVE-2021-3712. Estas vulnerabilidades afectan a dispositivos NAS que ejecutan QTS, QuTS hero, QuTScloud y HBS 3 Hybrid Backup Sync.

La primera vulnerabilidad se basa en el desbordamiento de búfer en el algoritmo SM2. Esto puede provocar bloqueos o la ejecución de código remoto. En el caso del segundo fallo, se debe al desbordamiento de búfer de lectura durante el procesamiento de cadenas ASN.1. Igualmente pueden usarlo para bloquear aplicaciones o acceder a la memoria privada.

Hay que tener en cuenta que se tratan de fallos de OpenSSL que afectan a los dispositivos QNAP. Desde OpenSSL ya han corregido el problema al lanzar OpenSSL 1.1.1l hace unos días. Sin embargo QNAP continúa trabajando en poder lanzar lo antes posible los parches para sus usuarios.

Vulnerabilidad en NAS Synology

Acceso remoto y denegación de servicio

En el caso de Synology, que tiene varios dispositivos afectados como son DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server y VPN Server, tampoco ha publicado por el momento actualizaciones para corregir el problema. Aseguran que están trabajando y que esos parches están en curso para que, en el menor tiempo posible, los usuarios puedan aplicarlos.

Los dispositivos de Synology se han visto afectados por las dos vulnerabilidades que ponen en riesgo también los NAS de QNAP y que, por ahora, no cuentan con los parches necesarios para poder corregirlos y que funcionen sin ningún riesgo de seguridad.

Un atacante podría realizar ataques de denegación de servicio de forma remota y llegar a ejecutar código arbitrario mediante una versión vulnerable de Synology DiskStation Manager, Synology Router Manager, VPN Plus Server o VPN Server.

Por tanto, en ambos casos seguimos esperando las actualizaciones de seguridad que puedan corregir el problema. Tanto QPAN como Synology están trabajando en poder ofrecer a sus clientes lo antes posible estos parches que corrijan las vulnerabilidades. Podéis ver algunos consejos para proteger un NAS.

Desde RedesZone siempre recomendamos aplicar todas las actualizaciones y parches de seguridad que haya disponibles. Es la mejor medida para conseguir que cualquier dispositivo conectado a la red esté protegido y no tenga ningún fallo que pueda permitir a un atacante infectar con malware, entrar en el equipo o ejecutar cualquier acción de forma remota. Pero claro, en ocasiones podemos tener problemas para esas actualizaciones si usamos dispositivos obsoletos o, como en el caso que hemos visto en este artículo, que tarden en llegar.