Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

QNAP advierte de una vulnerabilidad de ejecución remota de código en ciertas condiciones, pues las versiones de PHP 7.1.x anteriores a 7.1.33, 7.2.x anteriores a 7.2.24 y 7.3.x anteriores a 7.3.11 con una configuración de nginx incorrecta permitiría tomar control del sistema.

Recursos afectados

El proveedor de hardware taiwanés ya corrigió la falla de seguridad ( CVE-2019-11043 ) para algunas versiones del sistema operativo expuestas a ataques (QTS 5.0.1.2034 compilación 20220515 o posterior y QuTS hero h5.0.0.2069 compilación 20220614 o posterior).

Sin embargo, el error afecta a una amplia gama de dispositivos:

QTS 5.0.x y posterior
QTS 4.5.x y posterior
QuTS hero h5.0.x y posterior
QuTS hero h4.5.x y posterior
QuTScloud c5.0.x y posterior

Solución

Actualizar a la versión más reciente los sistemas operativos QTS o QuTS hero, también se recomienda que los dispositivos no estén expuestos a Internet.

Recomendaciones

Si bien QNAP trabaja para parchear la vulnerabilidad de PHP en todas las versiones de firmware vulnerables, los usuarios deben asegurarse de que su dispositivo no esté conectado a Internet para evitar ataques entrantes.

Referencias

Vulnerabilidad de PHP en NAS de QNAP