▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

NAS QNAP e Synology alle prese con due falle di sicurezza

QNAP e Synology sono al lavoro per chiudere due vulnerabilità di sicurezza dei NAS. Se sfruttate possono consentire l'esecuzione di codice arbitrario o dare accesso a contenuti sensibili.

Business Consumer Vulnerabilità

I NAS QNAP che eseguono QTS, QuTS hero, QuTScloud e HBS 3 Hybrid Backup Sync sono soggetti a due vulnerabilità RCE e DoS che sono state chiuse di recente da OpenSSL. Le stesse affliggono anche diversi modelli di NAS Synology fra cui DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server e VPN Server. Entrambe le aziende stanno lavorando agli aggiornamenti di sicurezza per chiudere tali falle.

Le vulnerabilità in questione sono tracciate comeCVE-2021-3711(con punteggio CVSS3 di 8.1) eCVE-2021-3712 (punteggio CVSS3 di 5.3). Nel primo caso si tratta di un buffer overflow Heap-based nell'algoritmo di crittografia SM2, che se sfruttato potrebbe consentire l'esecuzione di codice arbitrario.

La vulnerabilità CVE-2021-3712 invece è causata da un problema di sovraccarico del buffer di letturadurante l'elaborazione delle stringhe ASN.1. Un attaccante potrebbe sfruttarla per ottenere l'accesso a contenuti sensibili come chiavi private.


Nei NAS di QNAP queste due falle potrebbero consentire ad attaccanti da remoto di accedere ai dati della memoria senza autorizzazione, attivare DoS o eseguire codice arbitrario con le autorizzazioni dell'utente che esegue l'app HBS 3.

Nella nota ufficiale di Synology l'azienda spiega che per quanto riguarda i suoi prodotti, queste vulnerabilità consentono agli attaccanti da remoto di condurre attacchi denial-of-service o eseguire codice arbitrario tramite una versione sensibile di Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server o VPN Server.

È quindi di fondamentale importanza che le due aziende chiudano queste falle quanto prima. Il team di sviluppo di OpenSSL ha pubblicato la release OpenSSL 1.1.1lche risolve entrambi i problemi. Al momento non è disponibile una data per la pubblicazione delle patch dei NAS. Il 24 agosto QNAP ha fatto sapere che i tecnici sono al lavoro e che pubblicherà gli aggiornamenti di sicurezza quanto prima. Synology assicura la pubblicazione delle patch entro 90 giorni dalla pubblicazione degli alert.

Vale la pena ricordare che l'installazione delle correzioni di sicurezza dev'essere prioritaria sui NAS, che dall'avvio della pandemia sono particolarmente soggetti agli attacchi informatici. Basti ricordare gli attacchi condotti con i ransomware Agelocker, Qlocker e con eCh0raix.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Dic 19
Webinar v-valley : Barracuda: the power of Choice
Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter