Vulnerabilidad crítica de PHP expone los dispositivos NAS de QNAP a ataques remotos

QNAP, el fabricante taiwanés de dispositivos de almacenamiento conectado a la red (NAS), dijo el miércoles que está en el proceso de corregir una vulnerabilidad PHP crítica de tres años que podría ser objeto de abuso para lograr la ejecución remota de código.

«Se ha informado que una vulnerabilidad afecta a las versiones de PHP 7.1.x por debajo de 7.1.33, 7.2.x por debajo de 7.2.24 y 7.3.x por debajo de 7.3.11 con una configuración nginx incorrecta», dijo el proveedor de hardware en un aviso. «Si se explota, la vulnerabilidad permite a los atacantes obtener la ejecución remota de código».

La vulnerabilidad, rastreada como CVE-2019-11043 , tiene una calificación de 9,8 sobre 10 en cuanto a gravedad en el sistema de calificación de vulnerabilidad CVSS. Dicho esto, es necesario que Nginx y php-fpm se ejecuten en dispositivos que utilicen las siguientes versiones del sistema operativo de QNAP:

• QTS 5.0.x y posterior
• QTS 4.5.x y posterior
• QuTS hero h5.0.x y posterior
• QuTS hero h4.5.x y posterior
• QuTScloud c5.0.x y posterior

«Como QTS, QuTS hero o QuTScloud no tienen nginx instalado de forma predeterminada, los NAS de QNAP no se ven afectados por esta vulnerabilidad en el estado predeterminado», dijo la compañía, y agregó que ya había mitigado el problema en las versiones del sistema operativo QTS 5.0.1.2034 compilación 20220515 y QuTS hero h5.0.0.2069 compilación 20220614.

 

La alerta llega una semana después de que QNAP revelara que está «investigando a fondo» otra ola de ataques de ransomware DeadBolt dirigidos a dispositivos NAS de QNAP que ejecutan versiones obsoletas de QTS 4.x.