Alcuni NAS di QNAP a fine vita potranno beneficiare degli aggiornamenti critici di sicurezza fino a ottobre 2022. La decisione è stata presa per tutelare i clienti dall’escalation di attacchi registrati.
QNAP ha ampliato il supporto per i prodotti a fine vita in modo da tutelare i clienti dai cyber attacchi che stanno continuamente bersagliando i suoi sistemi. Che i NAS siano sulla graticola da oltre due anni a questa parte non è un segreto: fra attacchi ransomware e campagne brute force la lista delle insidie si è moltiplicata nel tempo.
Gli attacchi riguardano tutti i prodotti in commercio, a prescindere dalla marca e dal modello. Il motivo è che i NAS sono appetibili per i cyber criminali perché custodiscono backup e documenti sensibili. Inoltre, possono essere un buon punto di ingresso per distribuire malware in tutta la rete.
QNAP ci ha abituati a una particolare attenzione per la sicurezza, testimoniata dalla pubblicazione di patch frequenti e tempestive per chiudere ogni falla che si è rivelata potenzialmente sfruttabile. Finora l’azienda non aveva affrontato l’annoso problema dei dispositivi a fine vita, tecnicamente EOL.
È abitudine diffusa e consolidata che tutti i prodotti, sia hardware che software, quando sono troppo datati non vengano più supportati. Tuttavia capita sovente che il prodotto, benché obsoleto, svolga ancora egregiamente le proprie funzioni. Liberi professionisti, piccoli uffici e singoli consumatori che usano prodotti QNAP sono restii a cestinare un prodotto funzionante, pur considerando l’ampliamento della superficie di rischio.
Per questo l’azienda ha preso la decisione di estendere il supporto e la pubblicazione di aggiornamenti di sicurezza per alcuni dispositivi NAS a fine vita fino a ottobre 2022. Si tratta dei modelli con CPU x86 a 64 bit o ARM che si basano sul sistema operativo QTS nelle release 4.2.6, 4.3.3, 4.3.6 e 4.4.1. Così facendo dovrebbe fornire ai clienti di dispositivi non più supportati la protezione necessaria per i propri dati.
Il prolungato supporto ovviamente riguarda solo gli aspetti critici della sicurezza. Non ci saranno aggiornamenti dell’interfaccia o di altri elementi secondari, gli update saranno limitati alla correzione delle vulnerabilità critiche e di gravità elevata.
A scanso di equivoci, QNAP ha anche pubblicato una sorta di vademecum per i clienti che hanno ancora in uso prodotti a fine vita. La prima regola di buon senso è non esporre su Internet i NAS EOL: scollegarli dalla rete è di fatto l’unico modo per impedire agli attaccanti di comprometterli mediante exploit mirati allo sfruttamento di vulnerabilità senza patch.
Qualora non fosse possibile attuare questa precauzione, per abbassare la soglia di rischio (ma senza garanzie) è consigliato di disabilitare la funzione Port Forwarding della porta del servizio di gestione del NAS (porte 8080 e 433 per impostazione predefinita). Inoltre, è opportuno disabilitare la funzione UPnP del NAS. Per farlo è sufficiente accedere a myQNAPcloud dal menu QTS, fare clic sul menu Auto Router Configuration e deselezionare il comando Enable UPnP Port forwarding. Altri consigli sono pubblicati sulla pagina ufficiale dell’azienda.