Una vulnerabilidad en AFP de Apple afecta a NAS de Synology y QNAP

Los servidores NAS como Synology y QNAP disponen de compatibilidad con el protocolo AFP (Apple Filing Protocol) a través del software Netatalk. Este software es una implementación open-source que permite a los sistemas operativos basados en Unix y BSD la posibilidad de actuar como servidores AppleShare para los clientes macOS. De esta forma, podrán acceder de forma fácil y rápida a todos los archivos almacenados en los dispositivos NAS de Synology. A continuación, os vamos a explicar en qué te afecta y por qué debes estar muy atento a las próximas actualizaciones de Synology y QNAP.

Vulnerabilidades críticas en Netatalk

Se han descubierto una serie de vulnerabilidades críticas en el software de Netatalk que podría permitir a un atacante remoto obtener información confidencial del servidor NAS, y ejecutar código arbritario. Esto significa que un posible atacante sería capaz de acceder al servidor NAS y a todos los archivos, además, podría ejecutar cualquier comando con permisos de administrador, por lo que es un fallo de seguridad crítico que debe resolverse cuanto antes.

El equipo de desarrollo de Netatalk ya ha solucionado estos fallos de seguridad en su última versión 3.1.13, esta versión fue lanzada el 22 de marzo, por lo que ahora es necesario que los fabricantes como QNAP y Synology lancen actualizaciones de su sistema operativo, ya que este software se encuentra integrado de forma predeterminada en su sistema operativo, no es una aplicación adicional que podemos instalar a través de la tienda de aplicaciones.

Si no tienes el protocolo AFP de los NAS activado, no corres ningún riesgo, porque no se encuentra el software con la vulnerabilidad funcionando. En el caso de utilizar AFP porque tienes macOS, entonces la recomendación más importante es la siguiente: deshabilita esta función hasta que tengas un parche disponible.

NAS de Synology afectados

Todos los servidores NAS de Synology excepto los que tengan la nueva versión DSM 7.1-42661-1 o superior están en peligro. Cualquier sistema operativo basado en DSM 7.0 o DSM 6.2 tienen la versión de Netatalk vulnerable, y todavía no existe ninguna actualización de firmware para este sistema operativo del fabricante. Además, no solamente afecta a los NAS de Synology, sino también a sus routers que utilicen la versión SRM 1.2, ya que disponemos de este protocolo AFP integrado en ellos.

Sistemas operativos afectados:

• DSM 7.0
• DSM 6.2
• VS Firmware 2.3
• SRM 1.2

El fabricante Synology no ha indicado cuándo tendremos las nuevas versiones del sistema operativo con la versión «buena», pero han prometido que se hará dentro de los 90 días habituales desde que el software soluciona la vulnerabilidad, por lo que aún podrían pasar varias semanas hasta que el fabricante lance las correspondientes actualizaciones.

NAS de QNAP afectados

El fabricante QNAP ha lanzado una nueva versión del sistema operativo QTS, concretamente la versión QTS 4.5.4.2012 build 20220419 y posterior soluciona estos fallos de seguridad de Netatalk. Sin embargo, los sistemas operativos de la rama QTS 5.X y QuTS hero 5.X todavía no han recibido la correspondiente actualización, por lo que si tienes un NAS de QNAP debes estar muy atento a esto, y actualizar el sistema operativo cuanto antes. Cualquier NAS de QNAP con los siguientes sistemas operativos está afectado:

• QTS 5.0.x y posteriores
• QTS 4.5.4 (solo con la nueva versión 2012 se soluciona el fallo)
• QTS 4.3.6 y posteriores
• QTS 4.3.4 y posteriores
• QTS 4.3.3 y posteriores
• QTS 4.2.6 y posteriores
• QuTS hero h5.0.x y posteriores
• QuTS hero h4.5.4 y posteriores
• QuTScloud c5.0.x

QNAP se encuentra ahora mismo investigando este asunto y lanzará una actualización de la rama QTS 5.X a todos los usuarios en los próximos días, mientras tanto, recomiendan deshabilitar el protocolo AFP mientras se reciben las actualizaciones. Para deshabilitarlo, simplemente tenemos que irnos a «Panel de control > Servicios de red y archivos > Win/Mac/NFS/WebDAV > Redes de Apple» y seleccionamos «Deshabilitar AFP». El fabricante también ha declarado que está trabajando en abordar la vulnerabilidad Dirty Pipe de Linux que salió hace unas semanas, la cual puede provocar DoS y bloqueos de forma remota. Además, también tienen que lanzar una actualización para mitigar un par de errores críticos del servidor Apache. Por lo tanto, la próxima actualización de QNAP es muy importante.

El artículo Una vulnerabilidad en AFP de Apple afecta a NAS de Synology y QNAP se publicó en RedesZone.