Siete "ceros", un parche: QNAP se apresura a cerrar vulnerabilidades que permiten la ejecución de código arbitrario

La empresa taiwanesa QNAP publicó actualizaciones para sus sistemas que corrigen 7 vulnerabilidades de día cero (zero-day), demostradas por los participantes del concurso Pwn2Own Ireland 2025. Los problemas afectaban a los sistemas operativos propietarios QTS y QuTS hero, así como a varios servicios de la empresa — Hyper Data Protector, Malware Remover y HBS 3 Hybrid Backup Sync. Todas las vulnerabilidades fueron descubiertas durante las demostraciones en el evento por especialistas de los equipos Summoning Team, DEVCORE, Team DDOS y por un pasante de la empresa CyCraft Technology.

Según el aviso publicado, se corrigieron vulnerabilidades en los sistemas operativos QTS y QuTS hero, en el módulo Malware Remover, en la aplicación Hyper Data Protector, así como en la utilidad HBS 3 Hybrid Backup Sync. Los detalles sobre los mecanismos de explotación aún no se han revelado, pero todas fueron consideradas críticas y permitían ejecutar código arbitrario en los dispositivos. Para proteger sus sistemas, la empresa recomienda instalar lo antes posible las versiones recientes del software que contienen las correcciones.

La empresa recordó a los usuarios la necesidad de actualizar regularmente el firmware de los dispositivos NAS para recibir las actualizaciones de seguridad más recientes. QNAP también señaló que este incidente es una continuación de la iniciativa para corregir vulnerabilidades identificadas en concursos anteriores Pwn2Own. En octubre de 2024 la empresa ya corrigió vulnerabilidades que también fueron demostradas por investigadores en el concurso Pwn2Own Ireland 2024.

QNAP, que participa regularmente en este tipo de eventos, los considera una forma de mejorar la seguridad de su ecosistema de productos NAS, proporcionando a los investigadores la posibilidad de probar de forma segura los mecanismos de protección y demostrar públicamente las debilidades encontradas.