QNAP ha publicado parches para siete vulnerabilidades de día-cero (zero-day) que fueron explotadas en directo por investigadores durante la competencia Pwn2Own Ireland 2025. Las fallas afectan tanto el sistema operativo de sus NAS (Network Attached Storage) como sus componentes de software clave.
SIETE ZERO-DAYS EN QNAP: ALMACENAMIENTO CRÍTICO BAJO ATAQUE (PWN2OWN 2025)
El hecho de que QNAP haya tenido que parchar siete fallos de día-cero demostrados públicamente en un evento de hacking como Pwn2Own resalta que los dispositivos de almacenamiento NAS siguen siendo objetivos de alto valor para adversarios avanzados. La demostración reduce drásticamente la ventana de riesgo para organizaciones que utilizan QNAP.
Vulnerabilidades Afectadas
- En QNAP QTS y QuTS hero: CVE‑2025‑62847, CVE‑2025‑62848, CVE‑2025‑62849 (Compromiso del S.O.).
- En Hyper Data Protector: CVE‑2025‑59389 (Afecta la protección de datos).
- En Malware Remover: CVE‑2025‑11837 (Afecta las herramientas de seguridad).
- En HBS 3 Hybrid Backup Sync: CVE‑2025‑62840 y CVE‑2025‑62842 (Afecta la sincronización y el backup).
A continuación se detalla lo que se conoce sobre cada uno:
- CVE-2025-62847 afecta al sistema operativo de los NAS QNAP, tanto QTS como QuTS hero. Fue uno de los fallos demostrados durante Pwn2Own, y aunque QNAP no ha revelado detalles técnicos, se sospecha que podría permitir la ejecución remota de código o la elevación de privilegios en el dispositivo.
- CVE-2025-62848 también se encuentra dentro del sistema operativo principal de los NAS. Se trató de otro fallo zero-day explotado con éxito durante el concurso. No se ha detallado el tipo exacto de vulnerabilidad, pero al formar parte de la misma categoría que las anteriores, se considera de alta gravedad y podría ser usada para comprometer la administración del NAS.
- CVE-2025-62849 es una vulnerabilidad adicional dentro del sistema base de QNAP. Aunque no hay una descripción técnica pública, QNAP confirmó que fue corregida en las últimas versiones de firmware y recomendó la actualización inmediata.
- CVE-2025-59389 afecta a la aplicación Hyper Data Protector, una herramienta usada para realizar copias de seguridad en entornos NAS. Este fallo fue aprovechado durante la competencia y podría permitir a un atacante alterar procesos de respaldo o manipular datos almacenados, poniendo en riesgo la integridad de las copias de seguridad.
- CVE-2025-11837 fue descubierta en la aplicación Malware Remover, que está diseñada precisamente para proteger los sistemas QNAP frente a software malicioso. La vulnerabilidad permitía a un atacante aprovechar una debilidad interna en la aplicación para ejecutar código o modificar funciones de seguridad. Es una de las más preocupantes porque afecta una herramienta de defensa dentro del propio NAS.
- CVE-2025-62840 corresponde a una vulnerabilidad en la herramienta HBS 3 (Hybrid Backup Sync), usada para sincronizar y respaldar datos entre distintos servidores o servicios en la nube. Esta falla podría ser explotada para alterar los flujos de respaldo, robar información o inyectar datos maliciosos durante la sincronización.
- CVE-2025-62842, también dentro de HBS 3, representa una segunda vulnerabilidad distinta dentro de la misma aplicación. Fue utilizada por los investigadores de Pwn2Own para completar una cadena de ataque exitosa, lo que demuestra que la explotación combinada de fallos en el mismo componente puede otorgar control completo sobre el dispositivo NAS afectado.
Riesgos Críticos:
- Los dispositivos NAS contienen datos sensibles (backups, archivos corporativos) y su compromiso representa un riesgo de alta escala o persistencia prolongada.
- La gran diversidad de fallos (S.O., backup, malware remover) implica que incluso dispositivos configurados para la “seguridad” podrían estar comprometidos.
- Los exploits fueron demostrados públicamente, lo que eleva el riesgo de que adversarios reales adapten estas rutas de ataque, por lo que la acción es urgente.
- Muchas unidades NAS están desplegadas sin mantenimiento frecuente o expuestas sin segmentación, lo cual incrementa el riesgo real de explotación.
Recomendaciones
Actualizar Inmediatamente a Versiones Parcheadas:
- QTS 5.2.7.3297 build 20251024 o superior.
- QuTS hero h5.2.7.3297 (o h5.3.1.3292, build 20251024) o superior.
- Hyper Data Protector 2.2.4.1 o superior.
- Malware Remover 6.6.8.20251023 o superior.
- HBS 3 Hybrid Backup Sync 26.2.0.938 o superior.
Reforzar el Acceso:
- Cambiar contraseñas de administración de la interfaz del NAS y usuarios privilegiados.
- Asegurar que el acceso de administración solo esté disponible desde redes seguras (VPN, VLAN segregada), y que el NAS no esté expuesto directamente a Internet.
Segmentación de Red:
- Segmentar el tráfico de backup y NAS en red para limitar un salto de un NAS comprometido a otros sistemas críticos.
Detección y Auditoría:
- Revisar logs del sistema NAS (accesos, nuevos servicios, actualizaciones inesperadas).
- Realizar auditoría de apps instaladas en el NAS: comprobar que no se han añadido extensiones, scripts o módulos desconocidos (especialmente en HBS 3 y Malware Remover).
- Planificar un ejercicio de contingencia que considere el rol del NAS como pivote lateral o depósito de carga útil, no solo como repositorio de datos.
