QNAP, il port forwarding UPnP sui router mette a rischio i NAS: ecco come metterli in sicurezza

Il noto fornitore di hardware taiwanese QNAP ha esortato i clienti a disabilitare l’inoltro della porta UPnP (Universal Plug and Play) sui loro router per evitare di esporre i dispositivi NAS (Network-Attached Storage) a possibili attacchi provenienti da Internet.

Secondo quanto comunicato dallo stesso produttore nel suo bollettino di sicurezza, i criminal hacker potrebbero abusare di UPnP per infettare un sistema e prenderne il controllo.

Il rischio principale è quello di rimanere vittime di attacchi ransomware o di tipo brute force.

Il rischio si nasconde nelle specifiche dell’UPnP

Il rischio deriva dal fatto che l’UPnP, usato dai dispositivi di rete per comunicare tra loro in modo più efficiente e per creare automaticamente gruppi di lavoro per la condivisione semplice e immediata dei dati tra differenti applicazioni, è un insieme di protocolli di rete non sicuri in quanto non usano né crittografia né autenticazione e offre supporto per le comunicazioni peer-to-peer tra i dispositivi.

Inoltre, consente di entrare e uscire dinamicamente dalle reti, ottenere indirizzi IP, mettere a disposizione le risorse in rete e conoscere altri dispositivi UPnP sulla stessa rete.

“Gli attori delle minacce possono usufruire di UPnP per infettare il sistema tramite file dannosi e ottenere il controllo. Nonostante la sua praticità, UPnP può esporre il dispositivo a reti pubbliche e attacchi dannosi”, hanno affermato gli specialisti di QNAP.

Il consiglio è quindi quello di ” proteggere i NAS tramite router e firewall, evitando di associare al dispositivo un indirizzo IP pubblico. È necessario disabilitare nella configurazione del router l’inoltro porta manuale e l’inoltro automatico sulla porta UPnP per i NAS di QNAP”.

Come opzioni per coloro che necessitano di accedere ai dispositivi NAS senza attivare l’accesso diretto a Internet, QNAP consiglia di abilitare la funzione VPN del router (se disponibile), il servizio myQNAPcloud Link e il server VPN sui dispositivi QNAP forniti dall’app QVPN Service o adottare la soluzione SD-WAN di QNAP stessa, QuWAN.

Pierluigi Paganini, CEO Cybhorus ed esperto di cyber security, ci ricorda che “mantenere aggiornati i software ed il firmware dei dispositivi IoT è essenziale per evitare che minacce di vario tipo, dai ransomware alle botnet”.

L’analista ci ricorda che “i dispositivi QNAP sono bersagli privilegiati per i criminali informatici. Di seguito alcuni esempi di campagne che nel solo ultimo trimestre hanno colpito questi dispositivi: a marzo, il motore di ricerca Internet Censys ha segnalato una nuova ondata di attacchi ransomware DeadBolt rivolti ai dispositivi QNAP NAS. A febbraio, è stata osservata una nuova ondata di ransomware Qlocker che prendeva di mira i dispositivi QNAP NAS in tutto il mondo. Alla fine di gennaio, QNAP ha forzato l’aggiornamento del firmware per i suoi dispositivi NAS (Network Attached Storage) per proteggere i propri clienti dal ransomware DeadBolt.  Nel dicembre 2021, gli esperti hanno anche osservato gli attacchi ransomware ech0raix contro i dispositivi NAS (Network Attached Storage) QNAP”.

Ecco come mettere in sicurezza i propri NAS

Alla luce della possibile esposizione dei NAS a cyber attacchi, QNAP ha chiesto agli utenti di verificare se il proprio dispositivo è accessibile tramite Internet e di adottare le seguenti misure per difenderlo dai tentativi di compromissione:

1. disabilitare la funzione port forwarding del router seguendo questa semplice procedura: portarsi sull’interfaccia di gestione del router, controllare le impostazioni di Virtual Server, NAT o Port Forwarding e disabilitare l’impostazione di port forwarding della porta del servizio di gestione NAS (che, per impostazione predefinita, sono di solito la 8080 e la 433);
2. disabilitare la funzione UPnP del QNAP NAS da myQNAPcloud: è quindi sufficiente accedere al menu QTS, fare clic su Configurazione automatica del router e deselezionare Abilita inoltro porta UPnP.

QNAP fornisce inoltre istruzioni dettagliate sulla disabilitazione delle connessioni SSH e Telnet, sulla modifica del numero di porta del sistema e sulla password del dispositivo e sull’abilitazione della protezione dell’accesso IP e dell’account.

Pierluigi Paganini raccomanda, inoltre, di adottare le seguenti regole di sicurezza:

1. mettere il NAS QNAP dietro il router e il firewall. Non lasciare che il NAS QNAP ottenga un indirizzo IP pubblico. Disattivare UPnP sul NAS QNAP, impostare manualmente il port forwarding nella configurazione del router solo per le porte di rete richieste dai servizi del NAS QNAP utilizzati;
2. disattivare qualsiasi servizio che non si utilizza, come Telnet, SSH, server web, server SQL, phpMyAdmin e PostgreSQL;
3. cambiare i numeri di porta esterni (lato Internet) predefiniti, come 21, 22, 80, 443, 8080 e 8081, con quelli personalizzati (casuali). Per esempio, cambiare 8080 in 9527;
4. utilizzare solo il protocollo di comunicazione HTTPS criptato o altri tipi di connessioni sicure (come SSH, ad esempio);
5. installare QuFirewall sul NAS QNAP e limitare gli indirizzi IP consentiti ad una regione o subnet specifica;
6. impostare un nuovo account di amministratore e disabilitare l’account di amministratore predefinito;
7. applicare una politica di password forte per tutti gli utenti del NAS, compreso il nuovo account amministratore appena creato;
8. configurare la doppia autenticazione MFA (2-Step Verification) sul NAS;
9. abilitare gli aggiornamenti automatici del sistema operativo e delle applicazioni; è possibile programmare gli aggiornamenti per evitare di interrompere il backup/sincronizzazione o altre attività;
10. abilitare la protezione di accesso IP per bloccare gli indirizzi con troppi tentativi di accesso falliti.