QNAP sta preparando una patch per chiudere una falla che consente agli attaccanti di condurre attacchi denial-of-service su alcuni modelli dei suoi NAS.
È attesa a breve la patch per chiudere una vulnerabilità Infinite Loop in OpenSSL che interessa diversi modelli di NAS prodotti da QNAP. Una nota sul sito del produttore informa che la falla è tracciata con la sigla CVE-2022-0778 e ha un punteggio CVSS di 7.5. Il bug si verifica durante l'analisi dei certificati di sicurezza e consente agli attaccanti di condurre attacchi denial-of-service e di arrestare in remoto dei dispositivi privi di patch.
La vulnerabilità influisce sui prodotti che hanno le seguenti versioni del sistema operativo: QTS 5.0.x, QTS 4.5.4, QTS 4.3.6, QTS 4.3.4, QTS 4.3.3, QTS 4.2.6, QuTS hero h5.0.x, QuTS hero h4.5.4 e QuTScloud c5.0.x. Oltre alle release indicate, per tutte le sigle s'intendono anche quelle successive.
La buona notizia è che al momento non risultano attacchi in the wild che hanno sfruttato la falla. QNAP non ha pubblicato alcuna misura di mitigazione: invita gli utenti a tenere d'occhio gli aggiornamenti e installare le patch non appena saranno disponibili.
Ricordiamo che nell'ultimo biennio i NAS sono stati soggetti a moltissimi attacchi cyber, anche ransomware, mirati a colpire le piccole e medie imprese neutralizzando le copie di backup e rubare dati sensibili. Per questo motivo di recente QNAP ha ampliato il supporto per i prodotti a fine vita in modo da tutelare i clienti dai cyber attacchi.
L'ultima minaccia arriva a una settimana dalla pubblicazione di un aggiornamento di sicurezza mirato a chiudere una falla di QuTS hero (versione h5.0.0.1949 build 20220215 e successive) che apriva ad attacchi di escalation dei privilegi.