QNAP lleva casi un año sin solucionar vulnerabilidades críticas ya reportadas

Escrito por Rodrigo Alonso
Discos Duros
0

La empresa F-Secure ha reportado que desde hace casi un año reportaron tres vulnerabilidades críticas a QNAP que podrían permitir a un atacante hacerse con el control de sus dispositivos NAS y robar datos y contraseñas, y que a día de hoy todavía no han lanzado parches de seguridad para solucionar dichas vulnerabilidades.

Inicialmente, F-Secure encontró las vulnerabilidades en un dispositivo QNAP TVS-663, pero indicaron que todos los dispositivos de la marca pueden ser potencialmente afectados dado que todos utilizan el mismo método de actualización de firmware (en seguida os explicamos en qué consiste la vulnerabilidad). Indican en el informe que si un atacante se aprovecha de las tres vulnerabilidades podría obtener privilegios de administrador sobre el dispositivo, y gracias a éstos podría instalar malware, enviar spam o robar datos y contraseñas fácilmente.

El culpable de éstas vulnerabilidades es precisamente el sistema de actualización automática de firmware en los NAS de QNAP. Si el atacante envía malware en forma de actualización automática, el sistema no hace ninguna comprobación para verificar que éste viene del fabricante (no hay comprobación de firmas ni certificados), lo cual permitiría al atacante realizar un ataque del tipo “man-in-the-middle” para enviar firmware infectado con malware y así hacerse con el control del NAS.

¿Qué puedes hacer para evitar problemas?

Como mínimo hay 1,4 millones de dispositivos QNAP TVS-663 en diversos hogares y empresas, y dado que se trata del segundo fabricante más grande de NAS a nivel mundial, son muchos más los potenciales equipos afectados. Afortunadamente en éste caso el usuario sí que puede hacer algo para protegerse relativamente, y es algo tan sencillo como desactivar las actualizaciones automáticas de firmware en su NAS QNAP.

Esto, claro, podría dejarte vulnerable a otro tipo de problemas por no actualizar el NAS, así que es recomendable que sigas comprobando regularmente si hay nuevas actualizaciones e instalarlas manualmente hasta que éstos problemas hayan sido solucionados.

¿A qué espera QNAP para solucionarlo?

F-Secure reportó al fabricante éstas vulnerabilidades en Febrero de 2016, pero la compañía a día de hoy todavía no las ha corregido, dejando a miles de usuarios expuestos y, lo más grave, sabiendo que lo están. Esto es algo inaceptable tratándose de una empresa del calado de QNAP, y no podemos entender qué está sucediendo para dejar expuestos a sus usuarios durante tanto tiempo.

Puede ser que tengan algún tipo de problema interno, o simplemente que sus ingenieros no son capaces de solucionar éste problema, algo que personalmente no me creo pues simplemente bastaría con introducir una comprobación de firmas en el proceso de actualización de firmware para que el sistema pudiera comprobar que ésta viene de QNAP y no de ninguna otra fuente. Es algo que otros fabricantes como Synology y Thecus tienen implementado y, os aseguro, es bastante simple de hacer. Bajo mi punto de vista, no tienen excusa.

Continúa leyendo