NAS QNAP vulnerabili, patch disponibili da installare

QNAP ha pubblicato a novembre 2019 le patch che correggono quattro vulnerabilità critiche. È caldeggiata l'installazione per non incorrere in attacchi di remote takeover.

Consumer Vulnerabilità
A novembre 2019 QNAP ha pubblicato le patch per quattro vulnerabilità dei suoi NAS (Network-Attached Storage). Chi non le avesse ancora ancora installate dovrebbe farlo con estrema urgenza, perché consentono ai cyber criminali di eseguire attacchi di remote takeover.

Tre delle vulnerabilità sono state divulgate dal ricercatore di sicurezza Henry Huang. Era stato lui a trovarle a giugno 2019, e a comunicarle al produttore perché apportasse le correzioni del caso. Ora che le patch sono pubbliche, è lecito conoscerne l'importanza.

Le falle rilevate da Huang riguardano Photo Station, l'app per album fotografici preinstallata su tutte le versioni recenti dei NAS di QNAP. È presente su circa l'80% di tutti i sistemi NAS QNAP in circolazione, ossia circa 450.000 dispositivi. Il numero è approssimativo, ricostruito dai risultati del motore di ricerca Shodan.
qnap photo stationLa quarta vulnerabilità che è stata corretta interessa invece l'app di gestione file QTS.

I bug di Photo Station sono stati identificati con le sigle CVE-2019-7192 (CVSS 9.8), CVE-2019-7194 (CVSS 9.8), e CVE-2019-7195 (CVSS 9.8). I sistemi che ne sono affetti sono vulnerabili agli attacchi di acquisizione remota. CVE -2019-7193 (CVSS 9.8) è invece la sigla della falla che interessa l'app QTS.

Restringendo il campo ai tre bug scoperti da Huang, il primo in elenco serve per bypassare l'autenticazione. Il secondo per inserire codice dannoso nella sessione PHP dell'app Photo Station. Il terzo permette di installare una shell Web su dispositivi QNAP senza patch. I tre bug possono essere concatenati per ottenere un unico attacco articolato e molto insidioso.

Quello che permette loro di agire è che l'app Photo Station funziona con i privilegi di root. Ne segue che usando le falle nell'ordine indicato i cybercriminali possono ottenere il pieno controllo dei dispositivi QNAP.

Le patch ci sono

Come detto, QNAP ha pubblicato gli aggiornamenti di sicurezza sia per Photo Station che per le app QTS a novembre 2019. Le istruzioni per applicare gli aggiornamenti sono pubblicate sul sito di supporto ufficiale. L'aggiornamento dell'app QTS richiede un upgrade firmware. Invece l'aggiornamento dell'app Photo Station è disponibile tramite il Centro app QNAP.

Chi non ha ancora installato l'aggiornamento dovrebbe disconnettere immediatamente i dispositivi da Internet per evitare attacchi provenienti da botnet o tramite ransomware. Considerato che l'installazione comporta una minima interruzione per gli utenti QNAP, è caldamente consigliato l'upgrade.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Speciale

Coronavirus e sicurezza: proteggersi dal contagio digitale

Speciale

World Backup Day 2020: i consigli per tenere al sicuro i dati

Speciale

Soluzioni anti intrusione per la casa e l'ufficio

Calendario Tutto

Set 16
Come costruire un’azienda sicura? La guida definitiva nel cuore della ripartenza

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori