I NAS di QNAP sono nuovamente nell'occhio del ciclone. Secondo i ricercatori del Network Security Research Lab di 360 Netlab, i cyber criminali starebbero analizzando i NAS QNAP che eseguono versioni obsolete del firmware.

L'idea è sfruttare una vulnerabilità RCE (Remote Code Execution) per la quale è già stata diffusa la patch. Come spesso accade, non tutti gli utenti hanno provveduto a installarla, e questo mette a rischio la loro sicurezza.

La vulnerabilità consente agli attaccanti da remoto di ottenere l'autenticazione utilizzando l'eseguibile authLogout.cgi. Il motivo è che il software non aggiornato non riesce a filtrare i caratteri speciali, quindi richiama la funzione di sistema per eseguire le stringhe di comando. Questo permette di impartire i comandi che consentono l'esecuzione di codice da remoto.

Il firmware da aggiornare

Il report pubblicato oggi riferisce che i ricercatori di 360 Netlab hanno contattato QNAP per segnalare il problema. Però non è stato necessario diffondere una patch correttiva, perché era già stata diffusa con la versione 4.3.3 del firmware, pubblicata il 21 luglio 2017. Tutti i prodotti che hanno installato tale aggiornamento sono esenti da problemi, perché il produttore ha sostituito la funzione utilizzata per eseguire le stringhe di comando.

Questo non ha fermato i tentativi di attacco, che proseguono tuttora. I cyber criminali sanno bene che molti utenti attardano l'installazione delle patch, e questo dà loro agio di colpire sfruttando vulnerabilità note e ormai chiuse.

La buona notizia per i ritardatari è che, sulla base dell'analisi di 360 Netlab, i criminali informatici non hanno automatizzato del tutto la procedura di attacco. Alcune parti sono ancora svolte a mano, quindi la portata degli attacchi è limitata e la loro diffusione è lenta. È una fortuna che capita raramente e che dovrebbe essere sfruttata per beneficiare degli aggiornamenti prima che sia troppo tardi.

Occhio a ransomware e malware

Gli attacchi di cui abbiamo parlato sopra non sono gli unici che minacciano i NAS QNAP. Da due mesi risulta attiva la campagna ransomware eCh0raix, che crittografa il contenuto dei NAS e chiede un riscatto per fornire la chiave di decodifica.

Ricordiamo inoltre la piaga del malware QSnatch, che nella prima metà di giugno 2020 aveva già compromesso 62.000 NAS QNAP in tutto il mondo. Per difendersi il produttore esorta i clienti a installare tutti gli aggiornamenti di sicurezza e in particolare l'applicazione Malware Remover.