▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

NAS QNAP vulnerabili, patch disponibili da installare

QNAP ha pubblicato a novembre 2019 le patch che correggono quattro vulnerabilità critiche. È caldeggiata l'installazione per non incorrere in attacchi di remote takeover.

Consumer Vulnerabilità
A novembre 2019 QNAP ha pubblicato le patch per quattro vulnerabilità dei suoi NAS (Network-Attached Storage). Chi non le avesse ancora ancora installate dovrebbe farlo con estrema urgenza, perché consentono ai cyber criminali di eseguire attacchi di remote takeover.

Tre delle vulnerabilità sono state divulgate dal ricercatore di sicurezza Henry Huang. Era stato lui a trovarle a giugno 2019, e a comunicarle al produttore perché apportasse le correzioni del caso. Ora che le patch sono pubbliche, è lecito conoscerne l'importanza.

Le falle rilevate da Huang riguardano Photo Station, l'app per album fotografici preinstallata su tutte le versioni recenti dei NAS di QNAP. È presente su circa l'80% di tutti i sistemi NAS QNAP in circolazione, ossia circa 450.000 dispositivi. Il numero è approssimativo, ricostruito dai risultati del motore di ricerca Shodan.
qnap photo stationLa quarta vulnerabilità che è stata corretta interessa invece l'app di gestione file QTS.

I bug di Photo Station sono stati identificati con le sigle CVE-2019-7192 (CVSS 9.8), CVE-2019-7194 (CVSS 9.8), e CVE-2019-7195 (CVSS 9.8). I sistemi che ne sono affetti sono vulnerabili agli attacchi di acquisizione remota. CVE -2019-7193 (CVSS 9.8) è invece la sigla della falla che interessa l'app QTS.

Restringendo il campo ai tre bug scoperti da Huang, il primo in elenco serve per bypassare l'autenticazione. Il secondo per inserire codice dannoso nella sessione PHP dell'app Photo Station. Il terzo permette di installare una shell Web su dispositivi QNAP senza patch. I tre bug possono essere concatenati per ottenere un unico attacco articolato e molto insidioso.

Quello che permette loro di agire è che l'app Photo Station funziona con i privilegi di root. Ne segue che usando le falle nell'ordine indicato i cybercriminali possono ottenere il pieno controllo dei dispositivi QNAP.

Le patch ci sono

Come detto, QNAP ha pubblicato gli aggiornamenti di sicurezza sia per Photo Station che per le app QTS a novembre 2019. Le istruzioni per applicare gli aggiornamenti sono pubblicate sul sito di supporto ufficiale. L'aggiornamento dell'app QTS richiede un upgrade firmware. Invece l'aggiornamento dell'app Photo Station è disponibile tramite il Centro app QNAP.

Chi non ha ancora installato l'aggiornamento dovrebbe disconnettere immediatamente i dispositivi da Internet per evitare attacchi provenienti da botnet o tramite ransomware. Considerato che l'installazione comporta una minima interruzione per gli utenti QNAP, è caldamente consigliato l'upgrade.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter