QNAP ha pubblicato le patch di sicurezza per più vulnerabilità che potrebbero consentire a un attaccante di iniettare ed eseguire da remoto codice e comandi dannosi su NAS vulnerabili. Tre delle falle che sono state chiuse sono relative a vulnerabilità XSS(Cross-Site Scripting) ritenute ad alta gravità. Sono rispettivamente monitorate come CVE-2021-34354, CVE-2021-34356 e CVE-2021-34355 e interessano i dispositivi che eseguono le versioni di Photo Station antecedenti alla 5.4.10, alla 5.7.13 o alla 6.0.18.

QNAP ha inoltre corretto un bug di Image2PDF che potrebbe consentire a un cyber criminale di eseguire un attacco Stored XSS sui dispositivi che eseguono versioni del software antecedenti alla 2.1.5. Questo tipo di attacco, noto anche come XSS persistente o di tipo I, memorizza lo script malevolo in modo permanente sui server di destinazione, ad esempio in un database, in un forum di messaggi, eccetera, così che la vittima venga infettata non appena recupera informazioni da tale supporto.

QNAP ha inoltre chiuso la vulnerabilità di Command Injection monitorata con la sigla CVE-2021-34352, che interessava alcuni dispositivi QNAP a fine vita su cui è installato il software di videosorveglianza IP QVR. In questo caso il rischio era l'esecuzione di comandi arbitrari da remoto. Un attacco riuscito che sfrutta questo bug consentirebbe a un attaccante di assumere il controllo completo dei NAS compromessi.

Come aggiornare il NAS

Il produttore consiglia ai clienti di aggiornare immediatamente Photo Station e Image2PDF alle ultime versioni disponibili. Per farlo è necessario accedere a QTS o QuTS Hero come amministratore, aprire App Center e selezionare l'icona con la lente di ingrandimento. Nella casella di ricerca che viene visualizzata, digitare "Photo Station" o "Image2PDF" seguito dal tasto Invio.

Non appena l'applicazione compare nei risultati della ricerca, basta fare clic su Aggiorna. Qualora non comparisse il pulsante Aggiorna, significherebbe che è già in uso la versione più recente, quindi si è esenti da rischi per la sicurezza.

Per quanto riguarda l'aggiornamento che chiude la falla CVE-2021-34352, è necessario accedere a QVR come amministratore, selezionare il Pannello di controllo, quindi i comandiImpostazioni di sistema/Aggiornamentofirmware. Si viene così collegati a Live Update, dove basta avviare il controllo per gli aggiornamenti per accedere all'ultimo disponibile.

L'urgenza di procedere con gli update è dato dal fatto che in precedenza è già accaduto che i cyber criminali iniziassero a sfruttare le falle di Photo Station non appena diffusa la notizia delle patch.