QNAP ha pubblicato le patch per una coppia di vulnerabilità critiche dei NAS, che potrebbero consentire a un attaccante non autenticato di assumere il controllo dei dispositivi. In entrambi i casi la mancanza delle patch apre a uno scenario di esecuzione di codice da remoto (RCE).

La prima falla è identificata dalla sigla CVE-2020-2509 e affligge i tutti i NAS QNAP con QTS e quelli con QuTS Hero h4.5.1.1491 build 20201119 e successive. Si tratta di una vulnerabilità di command injection che può essere sfruttata tramite il server Web per eseguire comandi arbitrari in un'applicazione compromessa. È stata corretta con gli ultimi aggiornamenti del firmware, di cui è fortemente consigliata l'installazione.

Il secondo bug critico è quello identificato dalla sigla CVE-2020-36195. Influisce su tutti i NAS di QNAP che eseguono la Multimedia Console o il componente aggiuntivo Media Streaming. Gli attaccanti possono sfruttarla per ottenere accesso alle informazioni sulle applicazioni. I prodotti interessati cono quelli che eseguono QTS 4.3.3, 4.3.6 e 4.4.x e versioni successive.

La scoperta di entrambe le falle è di Janiv Puyeski, ricercatore per la sicurezza presso SAM Seamless Network. Sul blog ufficiale Puyeski spiega che "entrambe le vulnerabilità sono semplici da sfruttare se si conoscono i dettagli tecnici", che ovviamente non sono stati resi pubblici a tutela dei clienti. Il ricercatore ha mostrato uno script Python che prendeva il controllo di un NAS utilizzando una semplice tecnica di decodifica e che richiedeva solo che i servizi vulnerabili avessero l'accesso alla rete.
Uno dei problemi maggiori è che molti proprietari di NAS QNAP espongono il dispositivo su Internet usando la porta predefinita 8080, mettendolo a rischio di hacking.

Altre buone notizie

Oltre a correggere le due falle in oggetto, QNAP ha chiuso anche quella relativa a una vulnerabilità XSS (Cross-Site Scripting) ad alta gravità in File Station, l'app di gestione file di QTS. Identificata dalla sigla CVE-2018-19942, è corretta con le build QTS e QuTS hero h4.5.1.1472 build 20201031, QuTScloud c4.5.4.1601 build 20210309 e QuTScloud c4.5.3.1454 build 20201013.

Il 12 aprile poi l'azienda ha chiuso una vulnerabilità di buffer overflow nel suo sistema operativo QTS che era legato alla falla di Sudo divulgata tempo fa da Qualys. Aveva un indice di gravità classificato come rischio medio e influiva su tutti i dispositivi NAS QNAP. Se non corretta, la falla poteva consentire a qualsiasi utente di ottenere privilegi di root sull'host vulnerabile. La questione non è ancora risolta su QES (il sistema operativo di archiviazione aziendale di QNAP): in questi casi si consiglia di disabilitare SSH e Telnet, a meno che non siano indispensabili.