Due falle critiche affliggono QNAP Systems che ha pubblicato gli avvisi di sicurezza. Le vulnerabilità di command injection hanno un impatto su più versioni del sistema operativo QTS e sulle applicazioni dei suoi dispositivi NAS (Network Attached Storage).
“Le vulnerabilità presenti nei sistemi NAS di QNAP, oggetto dell’allerta”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “consentono di compromettere completamente questi dispositivi esponendo le organizzazioni che li utilizzano a rischi severi“. Ecco come proteggersi.
Indice degli argomenti
Le falle critiche in QNAP Systems
La prima falla è CVE-2023-23368 e ha una valutazione di gravità critica pari a 9,8 su 10. Si tratta di una vulnerabilità di tipo command injection, che può essere sfruttata da un utente per eseguire comandi attraverso la rete.
Le versioni di QTS interessate dal problema di sicurezza sono QTS 5.0.x e 4.5.x, QuTS hero h5.0.x e h4.5.x e QuTScloud c5.0.1.
La seconda vulnerabilità è identificata come CVE-2023-23369 e ha una valutazione di gravità inferiore, pari a 9.0: potrebbe essere sfruttata da un utente remoto con lo stesso effetto della precedente.
Entrambe “le vulnerabilità sono state classificate come critiche”, proprio per i rischi severi a cui espongono le aziende che usano i dispositivi compromessi. Dunque, continua Paganini, “è fondamentale che le aziende che utilizzano questi dispositivi procedano immediatamente ad aggiornarli. In passato sono state osservate numerose campagne malware che hanno preso di mira dispositivi NAS prodotti da QNAP, in molte di queste gli attori malevoli hanno compromesso sistemi non aggiornati”.
Le versioni interessate
Le release colpite dallaprima falla sono:
- QTS 5.0.1.2376 (build 20230421 e superiore);
- QTS 4.5.4.2374 (build 20230416 e superiore);
- QuTS hero h5.0.1.2376 (build 20230421 e superiore);
- QuTS hero h4.5.4.2374 (build 20230417 e superiore);
- QuTScloud c5.0.1.2374 (e superiore).
Le versioni di QTS interessate dalla seconda vulnerabilità includono 5.1.x, 4.3.6, 4.3.4, 4.3.3 e 4.2.x, Multimedia Console 2.1.x e 1.4.x e il componente aggiuntivo Media Streaming 500.1.x e 500.0.x.
Come proteggersi
Gli utenti QNAP devono applicare urgentemente gli aggiornamenti di sicurezza disponibili.
Le correzioni sono disponibili in:
- QTS 5.1.0.2399 build 20230515 e superiore;
- QTS 4.3.6.2441 build 20230621 e superiore;
- QTS 4.3.4.2451 build 20230621 e superiore;
- QTS 4.3.3.2420 build 20230621 e superiore;
- QTS 4.2.6 build 20230621 e superiore;
- Multimedia Console 2.1.2 (2023/05/04) e superiore;
- Multimedia Console 1.4.8 (2023/05/05) e superiore;
- Media Streaming add-on 500.1.1.2 (2023/06/12) e superiore;
- Media Streaming add-on 500.0.0.11 (2023/06/16) e superiore.
Per aggiornare QTS, QuTS hero o QuTScloud, gli amministratori possono accedere e navigare in Pannello di controllo/Sistema/Aggiornamento firmware e fare clic su Verifica aggiornamento, sotto Aggiornamento in tempo reale, per scaricare e installare la versione più recente. Gli aggiornamenti sono disponibili anche come download manuale dal sito web di QNAP.
L’aggiornamento della console multimediale si effettua cercando l’installazione nell’App center, cliccando sul pulsante Aggiorna (disponibile solo se esiste una versione più recente).
La procedura è simile per l’aggiornamento del componente aggiuntivo Media Streaming, che gli utenti possono trovare nell’App center. Poiché i dispositivi NAS sono tipicamente impiegati per archiviare dati, le falle nell’esecuzione dei comandi potrebbero avere un grave impatto.
Infatti, i criminali informatici sono spesso alla ricerca di nuovi obiettivi, a cui rubare e/o criptare dati sensibili. Gli aggressori possono quindi chiedere un riscatto alla vittima per non far trapelare i dati o per decifrarli. Il consiglio è di non pagare mai riscatti.
I dispositivi QNAP sono stati nel passato nel mirino di attacchi ransomware su larga scala. Un anno fa, la banda del ransomware Deadbolt ha sfruttato una vulnerabilità zero-day per criptare i dispositivi NAS esposti su internet.
“Negli ultimi due anni sono stati registrati numerosi attacchi a dispositivi NAS del produttore taiwanese, talvolta con la finalità di infettarli con varie famiglie di ransomware come Deadbolt, Checkmate, e eCh0raix“, conclude Paganini.
