{"id":16566,"date":"2021-08-31T07:22:16","date_gmt":"2021-08-31T07:22:16","guid":{"rendered":"https:\/\/www.redeszone.net\/?post_type=noticias&p=452892"},"modified":"2021-08-31T07:22:16","modified_gmt":"2021-08-31T07:22:16","slug":"han-corregido-ya-qnap-y-synology-los-fallos-de-seguridad-en-los-nas","status":"publish","type":"post","link":"http:\/\/cordobadirecto.com\/index.php\/2021\/08\/31\/han-corregido-ya-qnap-y-synology-los-fallos-de-seguridad-en-los-nas\/","title":{"rendered":"\u00bfHan corregido ya QNAP y Synology los fallos de seguridad en los NAS?"},"content":{"rendered":"

Sin actualizaciones para QNAP y Synology<\/h2>\n

Al tiempo de escribir este art\u00edculo, tanto QNAP como Synology contin\u00faan trabajando en lanzar lo antes posible actualizaciones<\/strong> para los usuarios que tengan NAS vulnerables a estos fallos de seguridad. Sin embargo a\u00fan no ha sido corregido y por tanto los equipos siguen en peligro.<\/p>\n

En el caso de QNAP, hay dos fallos de seguridad registrados como CVE-2021-3711<\/strong> y CVE-2021-3712<\/strong>. Estas vulnerabilidades afectan a dispositivos NAS que ejecutan QTS, QuTS hero, QuTScloud y HBS 3 Hybrid Backup Sync.<\/p>\n

La primera vulnerabilidad se basa en el desbordamiento de b\u00fafer<\/strong> en el algoritmo SM2. Esto puede provocar bloqueos o la ejecuci\u00f3n de c\u00f3digo remoto. En el caso del segundo fallo, se debe al desbordamiento de b\u00fafer de lectura durante el procesamiento de cadenas ASN.1. Igualmente pueden usarlo para bloquear aplicaciones o acceder a la memoria privada.<\/p>\n

Hay que tener en cuenta que se tratan de fallos de OpenSSL<\/strong> que afectan a los dispositivos QNAP. Desde OpenSSL ya han corregido el problema al lanzar OpenSSL 1.1.1l hace unos d\u00edas. Sin embargo QNAP contin\u00faa trabajando en poder lanzar lo antes posible los parches para sus usuarios.<\/p>\n

\"Vulnerabilidad<\/p>\n

Acceso remoto y denegaci\u00f3n de servicio<\/h3>\n

En el caso de Synology, que tiene varios dispositivos afectados<\/strong> como son DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server y VPN Server, tampoco ha publicado por el momento actualizaciones para corregir el problema. Aseguran que est\u00e1n trabajando y que esos parches est\u00e1n en curso para que, en el menor tiempo posible, los usuarios puedan aplicarlos.<\/p>\n

Los dispositivos de Synology se han visto afectados por las dos vulnerabilidades que ponen en riesgo tambi\u00e9n los NAS de QNAP y que, por ahora, no cuentan con los parches necesarios para poder corregirlos y que funcionen sin ning\u00fan riesgo de seguridad.<\/p>\n

Un atacante podr\u00eda realizar ataques de denegaci\u00f3n de servicio de forma remota<\/strong> y llegar a ejecutar c\u00f3digo arbitrario<\/strong> mediante una versi\u00f3n vulnerable de Synology DiskStation Manager, Synology Router Manager, VPN Plus Server o VPN Server.<\/p>\n

Por tanto, en ambos casos seguimos esperando las actualizaciones de seguridad que puedan corregir el problema. Tanto QPAN como Synology est\u00e1n trabajando en poder ofrecer a sus clientes lo antes posible estos parches que corrijan las vulnerabilidades. Pod\u00e9is ver algunos consejos para proteger un NA<\/a>S.<\/p>\n

Desde RedesZone siempre recomendamos aplicar todas las actualizaciones y parches<\/strong> de seguridad que haya disponibles. Es la mejor medida para conseguir que cualquier dispositivo conectado a la red est\u00e9 protegido y no tenga ning\u00fan fallo que pueda permitir a un atacante infectar con malware, entrar en el equipo o ejecutar cualquier acci\u00f3n de forma remota. Pero claro, en ocasiones podemos tener problemas para esas actualizaciones si usamos dispositivos obsoletos o, como en el caso que hemos visto en este art\u00edculo, que tarden en llegar.<\/p>\n","protected":false},"excerpt":{"rendered":"

Sin actualizaciones para QNAP y Synology Al tiempo de escribir este art\u00edculo, tanto QNAP como Synology contin\u00faan trabajando en lanzar lo antes posible actualizaciones para los usuarios que tengan NAS vulnerables a estos fallos de seguridad. Sin embargo a\u00fan no ha sido corregido y por tanto los equipos siguen en peligro. En el caso de […]<\/p>\n","protected":false},"author":1,"featured_media":16567,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[42],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/16566"}],"collection":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/comments?post=16566"}],"version-history":[{"count":0,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/16566\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media\/16567"}],"wp:attachment":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media?parent=16566"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/categories?post=16566"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/tags?post=16566"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}