NAS QNAP sotto attacco, c'è la patch da luglio
Nonostante a luglio sia stata distribuita la patch, sono molti i NAS QNAP colpiti dagli attacchi che eseguono codice da remoto. Ecco la versione del firmware da installare con urgenza.
I NAS di QNAP sono nuovamente nell'occhio del ciclone. Secondo i ricercatori del Network Security Research Lab di 360 Netlab, i cyber criminali starebbero analizzando i NAS QNAP che eseguono versioni obsolete del firmware.
L'idea è sfruttare una vulnerabilità RCE (Remote Code Execution) per la quale è già stata diffusa la patch. Come spesso accade, non tutti gli utenti hanno provveduto a installarla, e questo mette a rischio la loro sicurezza.
La vulnerabilità consente agli attaccanti da remoto di ottenere l'autenticazione utilizzando l'eseguibile authLogout.cgi. Il motivo è che il software non aggiornato non riesce a filtrare i caratteri speciali, quindi richiama la funzione di sistema per eseguire le stringhe di comando. Questo permette di impartire i comandi che consentono l'esecuzione di codice da remoto.
Questo non ha fermato i tentativi di attacco, che proseguono tuttora. I cyber criminali sanno bene che molti utenti attardano l'installazione delle patch, e questo dà loro agio di colpire sfruttando vulnerabilità note e ormai chiuse.
La buona notizia per i ritardatari è che, sulla base dell'analisi di 360 Netlab, i criminali informatici non hanno automatizzato del tutto la procedura di attacco. Alcune parti sono ancora svolte a mano, quindi la portata degli attacchi è limitata e la loro diffusione è lenta. È una fortuna che capita raramente e che dovrebbe essere sfruttata per beneficiare degli aggiornamenti prima che sia troppo tardi.
Ricordiamo inoltre la piaga del malware QSnatch, che nella prima metà di giugno 2020 aveva già compromesso 62.000 NAS QNAP in tutto il mondo. Per difendersi il produttore esorta i clienti a installare tutti gli aggiornamenti di sicurezza e in particolare l'applicazione Malware Remover.
L'idea è sfruttare una vulnerabilità RCE (Remote Code Execution) per la quale è già stata diffusa la patch. Come spesso accade, non tutti gli utenti hanno provveduto a installarla, e questo mette a rischio la loro sicurezza.
La vulnerabilità consente agli attaccanti da remoto di ottenere l'autenticazione utilizzando l'eseguibile authLogout.cgi. Il motivo è che il software non aggiornato non riesce a filtrare i caratteri speciali, quindi richiama la funzione di sistema per eseguire le stringhe di comando. Questo permette di impartire i comandi che consentono l'esecuzione di codice da remoto.
Il firmware da aggiornare
Il report pubblicato oggi riferisce che i ricercatori di 360 Netlab hanno contattato QNAP per segnalare il problema. Però non è stato necessario diffondere una patch correttiva, perché era già stata diffusa con la versione 4.3.3 del firmware, pubblicata il 21 luglio 2017. Tutti i prodotti che hanno installato tale aggiornamento sono esenti da problemi, perché il produttore ha sostituito la funzione utilizzata per eseguire le stringhe di comando.Questo non ha fermato i tentativi di attacco, che proseguono tuttora. I cyber criminali sanno bene che molti utenti attardano l'installazione delle patch, e questo dà loro agio di colpire sfruttando vulnerabilità note e ormai chiuse.
La buona notizia per i ritardatari è che, sulla base dell'analisi di 360 Netlab, i criminali informatici non hanno automatizzato del tutto la procedura di attacco. Alcune parti sono ancora svolte a mano, quindi la portata degli attacchi è limitata e la loro diffusione è lenta. È una fortuna che capita raramente e che dovrebbe essere sfruttata per beneficiare degli aggiornamenti prima che sia troppo tardi.
Occhio a ransomware e malware
Gli attacchi di cui abbiamo parlato sopra non sono gli unici che minacciano i NAS QNAP. Da due mesi risulta attiva la campagna ransomware eCh0raix, che crittografa il contenuto dei NAS e chiede un riscatto per fornire la chiave di decodifica.Ricordiamo inoltre la piaga del malware QSnatch, che nella prima metà di giugno 2020 aveva già compromesso 62.000 NAS QNAP in tutto il mondo. Per difendersi il produttore esorta i clienti a installare tutti gli aggiornamenti di sicurezza e in particolare l'applicazione Malware Remover.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
