NAS QNAP vulnerabili, patch disponibili da installare
QNAP ha pubblicato a novembre 2019 le patch che correggono quattro vulnerabilità critiche. È caldeggiata l'installazione per non incorrere in attacchi di remote takeover.
A novembre 2019 QNAP ha pubblicato le patch per quattro vulnerabilità dei suoi NAS (Network-Attached Storage). Chi non le avesse ancora ancora installate dovrebbe farlo con estrema urgenza, perché consentono ai cyber criminali di eseguire attacchi di remote takeover.
Tre delle vulnerabilità sono state divulgate dal ricercatore di sicurezza Henry Huang. Era stato lui a trovarle a giugno 2019, e a comunicarle al produttore perché apportasse le correzioni del caso. Ora che le patch sono pubbliche, è lecito conoscerne l'importanza.
Le falle rilevate da Huang riguardano Photo Station, l'app per album fotografici preinstallata su tutte le versioni recenti dei NAS di QNAP. È presente su circa l'80% di tutti i sistemi NAS QNAP in circolazione, ossia circa 450.000 dispositivi. Il numero è approssimativo, ricostruito dai risultati del motore di ricerca Shodan.
La quarta vulnerabilità che è stata corretta interessa invece l'app di gestione file QTS.
I bug di Photo Station sono stati identificati con le sigle CVE-2019-7192 (CVSS 9.8), CVE-2019-7194 (CVSS 9.8), e CVE-2019-7195 (CVSS 9.8). I sistemi che ne sono affetti sono vulnerabili agli attacchi di acquisizione remota. CVE -2019-7193 (CVSS 9.8) è invece la sigla della falla che interessa l'app QTS.
Restringendo il campo ai tre bug scoperti da Huang, il primo in elenco serve per bypassare l'autenticazione. Il secondo per inserire codice dannoso nella sessione PHP dell'app Photo Station. Il terzo permette di installare una shell Web su dispositivi QNAP senza patch. I tre bug possono essere concatenati per ottenere un unico attacco articolato e molto insidioso.
Quello che permette loro di agire è che l'app Photo Station funziona con i privilegi di root. Ne segue che usando le falle nell'ordine indicato i cybercriminali possono ottenere il pieno controllo dei dispositivi QNAP.
Chi non ha ancora installato l'aggiornamento dovrebbe disconnettere immediatamente i dispositivi da Internet per evitare attacchi provenienti da botnet o tramite ransomware. Considerato che l'installazione comporta una minima interruzione per gli utenti QNAP, è caldamente consigliato l'upgrade.
Tre delle vulnerabilità sono state divulgate dal ricercatore di sicurezza Henry Huang. Era stato lui a trovarle a giugno 2019, e a comunicarle al produttore perché apportasse le correzioni del caso. Ora che le patch sono pubbliche, è lecito conoscerne l'importanza.
Le falle rilevate da Huang riguardano Photo Station, l'app per album fotografici preinstallata su tutte le versioni recenti dei NAS di QNAP. È presente su circa l'80% di tutti i sistemi NAS QNAP in circolazione, ossia circa 450.000 dispositivi. Il numero è approssimativo, ricostruito dai risultati del motore di ricerca Shodan.
La quarta vulnerabilità che è stata corretta interessa invece l'app di gestione file QTS.I bug di Photo Station sono stati identificati con le sigle CVE-2019-7192 (CVSS 9.8), CVE-2019-7194 (CVSS 9.8), e CVE-2019-7195 (CVSS 9.8). I sistemi che ne sono affetti sono vulnerabili agli attacchi di acquisizione remota. CVE -2019-7193 (CVSS 9.8) è invece la sigla della falla che interessa l'app QTS.
Restringendo il campo ai tre bug scoperti da Huang, il primo in elenco serve per bypassare l'autenticazione. Il secondo per inserire codice dannoso nella sessione PHP dell'app Photo Station. Il terzo permette di installare una shell Web su dispositivi QNAP senza patch. I tre bug possono essere concatenati per ottenere un unico attacco articolato e molto insidioso.
Quello che permette loro di agire è che l'app Photo Station funziona con i privilegi di root. Ne segue che usando le falle nell'ordine indicato i cybercriminali possono ottenere il pieno controllo dei dispositivi QNAP.
Le patch ci sono
Come detto, QNAP ha pubblicato gli aggiornamenti di sicurezza sia per Photo Station che per le app QTS a novembre 2019. Le istruzioni per applicare gli aggiornamenti sono pubblicate sul sito di supporto ufficiale. L'aggiornamento dell'app QTS richiede un upgrade firmware. Invece l'aggiornamento dell'app Photo Station è disponibile tramite il Centro app QNAP.Chi non ha ancora installato l'aggiornamento dovrebbe disconnettere immediatamente i dispositivi da Internet per evitare attacchi provenienti da botnet o tramite ransomware. Considerato che l'installazione comporta una minima interruzione per gli utenti QNAP, è caldamente consigliato l'upgrade.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
