I NAS Synology, QNAP e Asustor sono di nuovo nell’occhio del ciclone dopo la scoperta di diverse vulnerabilità critiche che interessano Netatalk, un'implementazione open source del protocollo AFP che consente ai sistemi operativi basati su Unix di servire file server per Mac. Al momento non risultano sfruttamenti attivi in the wild, ma fino a quando non saranno disponibili le patch, gli utenti dovranno tutelare i propri dati adottando le misure di mitigazione pubblicate dai vendor.

Le falle rilevate sono in tutto sette: CVE-2022-0194, CVE-2022-23122 e CVE-2022-23125 possono essere sfruttate per ottenere l'esecuzione di codice da remoto da parte di un utente non autenticato. CVE-2022-23123 e CVE-2022-23124 aprono all’intercettazione di informazioni sensibili, mentre CVE-2022-23121 e CVE-2021-31439 possono consentire agli attaccanti di accedere alla rete locale e di eseguire codice arbitrario sui prodotti interessati.

Alcune di esse sono state protagoniste del Pwn2Own 2021, dove i partecipanti ne hanno dimostrato l’efficacia. Tale evento ha portato Netatalk a pubblicare una patch risolutiva a marzo 2022, con la release Netatalk v3.1.1, che tuttavia non è ancora stata distribuita da tutti i vendor su tutti i dispositivi. Considerato che i NAS interessati sono quasi sempre impiegati nelle PMI e in ambito domestico, collegati a Internet, sono potenzialmente a rischio di compromissione.

Patch e mitigazioni

Western Digital ha anticipato Netatalk e, a inizio 2022, ha rimosso del tutto Netatalk dal proprio firmware. TrueNAS ha risolto i problemi in TrueNAS Core 12.0-U8.1, pubblicando le patch all'inizio di questo mese. Gli utenti di questi due vendor possono quindi considerarsi al sicuro, ammesso che abbiano installato le correzioni.

Differente è la situazione per gli altri. Synology sostiene di essere in procinto di pubblicare tutte le patch. Ne ha rilasciata una per Synology DiskStation Manager v7.1, mancano quelle per DiskStation Manager v7.0 e 6.2, per VS Firmware 2.3 e per SRM 1.2. L’azienda indirizza all’assistenza tecnica i clienti che intendono attivare delle misure di mitigazione per abbassare la soglia rischio in attesa delle correzioni mancanti.

QNAP ha risolto le vulnerabilità della build QTS 4.5.4.2012 20220419 e versioni successive; sta lavorando a quelle per QTS 5.0.x, QTS 4.3.6, QTS 4.3.4, QTS 4.3.3, QTS 4.2.6 e successivi, QuTS hero h5.0.x, QuTS hero h4.5.4 e successivi e QuTScloud c5.0.x.

Nel frattempo, il vendor taiwanese consiglia agli utenti di disabilitare temporaneamente l'AFP (tramite il pannello di controllo dei dispositivi, nella scheda Network & File Services) e di implementare gli aggiornamenti non appena saranno disponibili. Asustor sta lavorando alle patch per ADM 4.0 e ADM 3.5.