NAS QNAP e Synology alle prese con due falle di sicurezza

QNAP e Synology sono al lavoro per chiudere due vulnerabilità di sicurezza dei NAS. Se sfruttate possono consentire l'esecuzione di codice arbitrario o dare accesso a contenuti sensibili.

Business Consumer Vulnerabilità

I NAS QNAP che eseguono QTS, QuTS hero, QuTScloud e HBS 3 Hybrid Backup Sync sono soggetti a due vulnerabilità RCE e DoS che sono state chiuse di recente da OpenSSL. Le stesse affliggono anche diversi modelli di NAS Synology fra cui DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server e VPN Server. Entrambe le aziende stanno lavorando agli aggiornamenti di sicurezza per chiudere tali falle.

Le vulnerabilità in questione sono tracciate comeCVE-2021-3711(con punteggio CVSS3 di 8.1) eCVE-2021-3712 (punteggio CVSS3 di 5.3). Nel primo caso si tratta di un buffer overflow Heap-based nell'algoritmo di crittografia SM2, che se sfruttato potrebbe consentire l'esecuzione di codice arbitrario.

La vulnerabilità CVE-2021-3712 invece è causata da un problema di sovraccarico del buffer di letturadurante l'elaborazione delle stringhe ASN.1. Un attaccante potrebbe sfruttarla per ottenere l'accesso a contenuti sensibili come chiavi private.


Nei NAS di QNAP queste due falle potrebbero consentire ad attaccanti da remoto di accedere ai dati della memoria senza autorizzazione, attivare DoS o eseguire codice arbitrario con le autorizzazioni dell'utente che esegue l'app HBS 3.

Nella nota ufficiale di Synology l'azienda spiega che per quanto riguarda i suoi prodotti, queste vulnerabilità consentono agli attaccanti da remoto di condurre attacchi denial-of-service o eseguire codice arbitrario tramite una versione sensibile di Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server o VPN Server.

È quindi di fondamentale importanza che le due aziende chiudano queste falle quanto prima. Il team di sviluppo di OpenSSL ha pubblicato la release OpenSSL 1.1.1lche risolve entrambi i problemi. Al momento non è disponibile una data per la pubblicazione delle patch dei NAS. Il 24 agosto QNAP ha fatto sapere che i tecnici sono al lavoro e che pubblicherà gli aggiornamenti di sicurezza quanto prima. Synology assicura la pubblicazione delle patch entro 90 giorni dalla pubblicazione degli alert.

Vale la pena ricordare che l'installazione delle correzioni di sicurezza dev'essere prioritaria sui NAS, che dall'avvio della pandemia sono particolarmente soggetti agli attacchi informatici. Basti ricordare gli attacchi condotti con i ransomware Agelocker, Qlocker e con eCh0raix.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori