QNAP e Synology sono al lavoro per chiudere due vulnerabilità di sicurezza dei NAS. Se sfruttate possono consentire l'esecuzione di codice arbitrario o dare accesso a contenuti sensibili.
I NAS QNAP che eseguono QTS, QuTS hero, QuTScloud e HBS 3 Hybrid Backup Sync sono soggetti a due vulnerabilità RCE e DoS che sono state chiuse di recente da OpenSSL. Le stesse affliggono anche diversi modelli di NAS Synology fra cui DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server e VPN Server. Entrambe le aziende stanno lavorando agli aggiornamenti di sicurezza per chiudere tali falle.
Le vulnerabilità in questione sono tracciate comeCVE-2021-3711(con punteggio CVSS3 di 8.1) eCVE-2021-3712 (punteggio CVSS3 di 5.3). Nel primo caso si tratta di un buffer overflow Heap-based nell'algoritmo di crittografia SM2, che se sfruttato potrebbe consentire l'esecuzione di codice arbitrario.
La vulnerabilità CVE-2021-3712 invece è causata da un problema di sovraccarico del buffer di letturadurante l'elaborazione delle stringhe ASN.1. Un attaccante potrebbe sfruttarla per ottenere l'accesso a contenuti sensibili come chiavi private.
Nei NAS di QNAP queste due falle potrebbero consentire ad attaccanti da remoto di accedere ai dati della memoria senza autorizzazione, attivare DoS o eseguire codice arbitrario con le autorizzazioni dell'utente che esegue l'app HBS 3.
Nella nota ufficiale di Synology l'azienda spiega che per quanto riguarda i suoi prodotti, queste vulnerabilità consentono agli attaccanti da remoto di condurre attacchi denial-of-service o eseguire codice arbitrario tramite una versione sensibile di Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server o VPN Server.
È quindi di fondamentale importanza che le due aziende chiudano queste falle quanto prima. Il team di sviluppo di OpenSSL ha pubblicato la release OpenSSL 1.1.1lche risolve entrambi i problemi. Al momento non è disponibile una data per la pubblicazione delle patch dei NAS. Il 24 agosto QNAP ha fatto sapere che i tecnici sono al lavoro e che pubblicherà gli aggiornamenti di sicurezza quanto prima. Synology assicura la pubblicazione delle patch entro 90 giorni dalla pubblicazione degli alert.
Vale la pena ricordare che l'installazione delle correzioni di sicurezza dev'essere prioritaria sui NAS, che dall'avvio della pandemia sono particolarmente soggetti agli attacchi informatici. Basti ricordare gli attacchi condotti con i ransomware Agelocker, Qlocker e con eCh0raix.