SecurityOpenLab

NAS QNAP vulnerabili, patch disponibili da installare

QNAP ha pubblicato a novembre 2019 le patch che correggono quattro vulnerabilità critiche. È caldeggiata l'installazione per non incorrere in attacchi di remote takeover.

A novembre 2019 QNAP ha pubblicato le patch per quattro vulnerabilità dei suoi NAS (Network-Attached Storage). Chi non le avesse ancora ancora installate dovrebbe farlo con estrema urgenza, perché consentono ai cyber criminali di eseguire attacchi di remote takeover.

Tre delle vulnerabilità sono state divulgate dal ricercatore di sicurezza Henry Huang. Era stato lui a trovarle a giugno 2019, e a comunicarle al produttore perché apportasse le correzioni del caso. Ora che le patch sono pubbliche, è lecito conoscerne l'importanza.

Le falle rilevate da Huang riguardano Photo Station, l'app per album fotografici preinstallata su tutte le versioni recenti dei NAS di QNAP. È presente su circa l'80% di tutti i sistemi NAS QNAP in circolazione, ossia circa 450.000 dispositivi. Il numero è approssimativo, ricostruito dai risultati del motore di ricerca Shodan.
qnap photo stationLa quarta vulnerabilità che è stata corretta interessa invece l'app di gestione file QTS.

I bug di Photo Station sono stati identificati con le sigle CVE-2019-7192 (CVSS 9.8), CVE-2019-7194 (CVSS 9.8), e CVE-2019-7195 (CVSS 9.8). I sistemi che ne sono affetti sono vulnerabili agli attacchi di acquisizione remota. CVE -2019-7193 (CVSS 9.8) è invece la sigla della falla che interessa l'app QTS.

Restringendo il campo ai tre bug scoperti da Huang, il primo in elenco serve per bypassare l'autenticazione. Il secondo per inserire codice dannoso nella sessione PHP dell'app Photo Station. Il terzo permette di installare una shell Web su dispositivi QNAP senza patch. I tre bug possono essere concatenati per ottenere un unico attacco articolato e molto insidioso.

Quello che permette loro di agire è che l'app Photo Station funziona con i privilegi di root. Ne segue che usando le falle nell'ordine indicato i cybercriminali possono ottenere il pieno controllo dei dispositivi QNAP.

Le patch ci sono

Come detto, QNAP ha pubblicato gli aggiornamenti di sicurezza sia per Photo Station che per le app QTS a novembre 2019. Le istruzioni per applicare gli aggiornamenti sono pubblicate sul sito di supporto ufficiale. L'aggiornamento dell'app QTS richiede un upgrade firmware. Invece l'aggiornamento dell'app Photo Station è disponibile tramite il Centro app QNAP.

Chi non ha ancora installato l'aggiornamento dovrebbe disconnettere immediatamente i dispositivi da Internet per evitare attacchi provenienti da botnet o tramite ransomware. Considerato che l'installazione comporta una minima interruzione per gli utenti QNAP, è caldamente consigliato l'upgrade.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 20/05/2020

Tag: patch falla qnap


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore