Shellshock afecta a servicios NAS de QNAP (actualizado)

Ya hemos visto que Shellshock afecta al intérprete de comandos Bash utilizado en sistemas Linux/Unix, y su extensión ha ido más allá de servidores y estaciones de trabajo, ya que millones de dispositivos conectados a Internet también utilizan distribuciones Linux.

Así, entre los dispositivos afectados también se encuentran los NAS de firmas como QNAP, lo que ha llevado al fabricante a pedir a los usuarios que tomen precauciones si comparten sus dispositivos por Internet, recomendando desconectar los siguientes servicios:

• Administración web.
• Web server.
• WebDAV.
• Photo Station, Music Station, File Station y cualquier otra aplicación basada en interfaz web.

De momento QNAP no ha informado de violaciones de seguridad en sus dispositivos aprovechando este error, pero aún así ha preferido optar por avisar y prevenir antes de curar.

Dicho esto los usuarios de soluciones de este fabricante no tienen más remedio que quedar a la espera de un parche oficial que solucione el [pajarito]problema de seguridad que supone Shellshock.[/pajarito]

Actualizado 3 de octubre: como imaginábamos QNAP no ha tardado en lanzar un nuevo firmware que pone fin a la vulnerabilidad Shellshock, gracias al lanzamiento de la actualización QTS 4.1.1 para sus equipos TurboNAS.

El firmware QTS 4.1.1 nos garantiza la seguridad de todos nuestros datos gracias a la inclusión de cifrado de volumen completo capaz de cifrar fotos, música, vídeos, documentos y prácticamente todo el contenido almacenado en el NAS.

Willy Kuo, director de producto de QNAP, comentó que:

«QNAP se esfuerza por desarrollar la solución de almacenamiento más cómoda y segura, y proporcionando el cifrado por volumen completo podemos garantizar la seguridad total de los datos».

Actualización a 7 de octubre: QNAP nos ha enviado una nota de prensa que reproducimos tal cual:

QNAP® Systems, Inc. anuncia la disponibilidad de un nuevo Build de su firmware QTS 4.1.1 que incluye parches para todas las vulnerabilidades conocidas en la inyección de comandos variables en entornos de GNU Bash, también conocido como “Shellshock”. El nuevo Build 1003 del QTS 4.1.1 ha sido verificado por el laboratorio de seguridad de QNAP y testado minuciosamente para confirmar que repara todas las vulnerabilidades conocidas de GNU Bash.

La semana pasada QNAP publicó el Build 0927 del QTS 4.1.1 que incluía parches para las vulnerabilidades Bash CVE-2014-6271 y CVE-2014-7169. Sin embargo se detectó desde entonces más posibles vulnerabilidades en el entorno GNU Bash – las CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, y CVE-2014-7187. Este nuevo Build 1003 por tanto ofrece una solución para todas las vulnerabilidades conocidas y la compañía aconseja a sus usuarios que actualicen de forma inmediata sus NAS con esta nueva versión del firmware, incluso aunque hayan instalado ya el Build 0927 de la semana pasada.

El Build 1003 del QTS 4.1.1 se puede instalar a través de la función de ‘Live Update’ en el Panel de Control del NAS, o incluso manualmente desde http://www.qnap.com/download.

Como medida cautelar, QNAP también ha anunciado la suspensión temporal de su servicio myQNAPCloud DDNS a partir de las 9am el día 7 de Octubre. La compañía aconseja que todos los usuarios deberán reiniciar el servicio DDNS de myQNAPcloud, una vez actualizado su equipo a QTS 4.1.1 Build 1003. QNAP ofrece un tutorial online para dar a conocer los pasos necesarios para hacerlo: http://www.qnap.com/restart.ddns

Los usuarios en España también pueden encontrar todas las noticias, actualizaciones y consejos que necesitan en el foro de usuarios QNAP Club en español (www.qnapclub.es) o a través de los perfiles de:

Facebook – https://www.facebook.com/ClubQNAP.es?fref=ts