QNAP y Veritas, empresas líderes en almacenamiento y gestión de datos, abordaron más de 30 vulnerabilidades críticas en sus productos. Estas fallas podrían comprometer gravemente la seguridad de los sistemas empresariales.
QNAP: 24 vulnerabilidades en múltiples productos
El fabricante taiwanés QNAP solucionó 24 vulnerabilidades en diversos productos, incluyendo 2 críticas y 9 de alta gravedad, las cuales pueden llevar a la ejecución de código, lectura y escritura de archivos, elusión de autenticación, divulgación de información y escalamiento de privilegios.
Productos afectados
Entre los productos impactados se encuentran:
- Notes Station 3 (versiones 3.9.x): el más afectado, con dos fallos críticos y otros dos de alta severidad.
- QTS y QuTS hero: los sistemas operativos para dispositivos NAS de gama baja y alta, vulnerables a errores de OpenSSH antiguos (CVE-2023-38408, CVE-2021-41617 y CVE-2020-14145).
- Otros productos: Photo Station, AI Core, QuLog Center, QuRouter y Media Streaming Add-on.
Problemas recientes en actualizaciones
Una actualización de firmware de QTS lanzada previamente causó fallos en dispositivos específicos, lo que obligó a la empresa a retirarla temporalmente. Según QNAP, el problema afectó únicamente a modelos limitados como TS-x53D y TS-x51, entre otros.
Veritas: Parcheos lentos y riesgos prolongados
Veritas, conocida por su plataforma Enterprise Vault de archivado y retención de datos empresariales, enfrenta críticas por su ritmo lento para abordar siete vulnerabilidades críticas, todas con una puntuación preliminar de 9.8 en la escala CVSSv3.
Detalles de las vulnerabilidades
- Problemas identificados: Relacionados con la deserialización de datos no confiables en puertos TCP de .NET Remoting.
- Riesgos: Ejecución de código y control total de los sistemas afectados.
Aunque Veritas publicó mitigaciones en noviembre, los parches definitivos no estarán disponibles hasta el tercer trimestre de 2025 con la versión 15.2. Mientras tanto, la empresa asegura que seguir las mejores prácticas, como limitar el acceso administrativo y mantener los firewalls activos, puede proteger los sistemas.
Recomendaciones para empresas
- Actualizar de inmediato: QNAP ya ha lanzado parches para la mayoría de sus productos afectados. Las empresas deben priorizar estas actualizaciones para evitar incidentes.
- Aplicar mitigaciones: Los usuarios de Veritas deben implementar las soluciones temporales descritas en la guía oficial.
- Evaluar configuraciones de seguridad: Asegúrese de que sus sistemas cumplan con las mejores prácticas, incluyendo la correcta configuración de firewalls y el acceso restringido.
- Monitorear actividad inusual: Vigile patrones sospechosos que puedan indicar explotación de estas vulnerabilidades.
Conclusión
Las vulnerabilidades críticas en sistemas NAS y plataformas de retención de datos subrayan la importancia de mantener una gestión proactiva de la ciberseguridad. La combinación de parches rápidos y configuraciones seguras es clave para proteger la infraestructura tecnológica de cualquier empresa.