Chiuse due vulnerabilità RCE critiche dei NAS QNAP

QNAP ha corretto due vulnerabilità critiche dei suoi NAS che avrebbero potuto consentire l'esecuzione di codice da remoto.

Business Consumer Vulnerabilità
QNAP ha pubblicato le patch per una coppia di vulnerabilità critiche dei NAS, che potrebbero consentire a un attaccante non autenticato di assumere il controllo dei dispositivi. In entrambi i casi la mancanza delle patch apre a uno scenario di esecuzione di codice da remoto (RCE).

La prima falla è identificata dalla sigla CVE-2020-2509 e affligge i tutti i NAS QNAP con QTS e quelli con QuTS Hero h4.5.1.1491 build 20201119 e successive. Si tratta di una vulnerabilità di command injection che può essere sfruttata tramite il server Web per eseguire comandi arbitrari in un'applicazione compromessa. È stata corretta con gli ultimi aggiornamenti del firmware, di cui è fortemente consigliata l'installazione.

Il secondo bug critico è quello identificato dalla sigla CVE-2020-36195. Influisce su tutti i NAS di QNAP che eseguono la Multimedia Console o il componente aggiuntivo Media Streaming. Gli attaccanti possono sfruttarla per ottenere accesso alle informazioni sulle applicazioni. I prodotti interessati cono quelli che eseguono QTS 4.3.3, 4.3.6 e 4.4.x e versioni successive.

La scoperta di entrambe le falle è di Janiv Puyeski, ricercatore per la sicurezza presso SAM Seamless Network. Sul blog ufficiale Puyeski spiega che "entrambe le vulnerabilità sono semplici da sfruttare se si conoscono i dettagli tecnici", che ovviamente non sono stati resi pubblici a tutela dei clienti. Il ricercatore ha mostrato uno script Python che prendeva il controllo di un NAS utilizzando una semplice tecnica di decodifica e che richiedeva solo che i servizi vulnerabili avessero l'accesso alla rete.
qnapUno dei problemi maggiori è che molti proprietari di NAS QNAP espongono il dispositivo su Internet usando la porta predefinita 8080, mettendolo a rischio di hacking.

Altre buone notizie


Oltre a correggere le due falle in oggetto, QNAP ha chiuso anche quella relativa a una vulnerabilità XSS (Cross-Site Scripting) ad alta gravità in File Station, l'app di gestione file di QTS. Identificata dalla sigla CVE-2018-19942, è corretta con le build QTS e QuTS hero h4.5.1.1472 build 20201031, QuTScloud c4.5.4.1601 build 20210309 e QuTScloud c4.5.3.1454 build 20201013.

Il 12 aprile poi l'azienda ha chiuso una vulnerabilità di buffer overflow nel suo sistema operativo QTS che era legato alla falla di Sudo divulgata tempo fa da Qualys. Aveva un indice di gravità classificato come rischio medio e influiva su tutti i dispositivi NAS QNAP. Se non corretta, la falla poteva consentire a qualsiasi utente di ottenere privilegi di root sull'host vulnerabile. La questione non è ancora risolta su QES (il sistema operativo di archiviazione aziendale di QNAP): in questi casi si consiglia di disabilitare SSH e Telnet, a meno che non siano indispensabili.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori