NAS QNAP vulnerabili, patch disponibili da installare

QNAP ha pubblicato a novembre 2019 le patch che correggono quattro vulnerabilità critiche. È caldeggiata l'installazione per non incorrere in attacchi di remote takeover.

Autore: Redazione SecurityOpenLab

A novembre 2019 QNAP ha pubblicato le patch per quattro vulnerabilità dei suoi NAS (Network-Attached Storage). Chi non le avesse ancora ancora installate dovrebbe farlo con estrema urgenza, perché consentono ai cyber criminali di eseguire attacchi di remote takeover.

Tre delle vulnerabilità sono state divulgate dal ricercatore di sicurezza Henry Huang. Era stato lui a trovarle a giugno 2019, e a comunicarle al produttore perché apportasse le correzioni del caso. Ora che le patch sono pubbliche, è lecito conoscerne l'importanza.

Le falle rilevate da Huang riguardano Photo Station, l'app per album fotografici preinstallata su tutte le versioni recenti dei NAS di QNAP. È presente su circa l'80% di tutti i sistemi NAS QNAP in circolazione, ossia circa 450.000 dispositivi. Il numero è approssimativo, ricostruito dai risultati del motore di ricerca Shodan.
La quarta vulnerabilità che è stata corretta interessa invece l'app di gestione file QTS.

I bug di Photo Station sono stati identificati con le sigle CVE-2019-7192 (CVSS 9.8), CVE-2019-7194 (CVSS 9.8), e CVE-2019-7195 (CVSS 9.8). I sistemi che ne sono affetti sono vulnerabili agli attacchi di acquisizione remota. CVE -2019-7193 (CVSS 9.8) è invece la sigla della falla che interessa l'app QTS.

Restringendo il campo ai tre bug scoperti da Huang, il primo in elenco serve per bypassare l'autenticazione. Il secondo per inserire codice dannoso nella sessione PHP dell'app Photo Station. Il terzo permette di installare una shell Web su dispositivi QNAP senza patch. I tre bug possono essere concatenati per ottenere un unico attacco articolato e molto insidioso.

Quello che permette loro di agire è che l'app Photo Station funziona con i privilegi di root. Ne segue che usando le falle nell'ordine indicato i cybercriminali possono ottenere il pieno controllo dei dispositivi QNAP.

Le patch ci sono

Come detto, QNAP ha pubblicato gli aggiornamenti di sicurezza sia per Photo Station che per le app QTS a novembre 2019. Le istruzioni per applicare gli aggiornamenti sono pubblicate sul sito di supporto ufficiale. L'aggiornamento dell'app QTS richiede un upgrade firmware. Invece l'aggiornamento dell'app Photo Station è disponibile tramite il Centro app QNAP.

Chi non ha ancora installato l'aggiornamento dovrebbe disconnettere immediatamente i dispositivi da Internet per evitare attacchi provenienti da botnet o tramite ransomware. Considerato che l'installazione comporta una minima interruzione per gli utenti QNAP, è caldamente consigliato l'upgrade.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.