I NAS QNAP vulnerabili ad attacchi, ma c'è già la patch

I NAS QNAP vulnerabili ad attacchi, ma c'è già la patch

Un ricercatore di sicurezza ha scoperto che i NAS QNAP sono vulnerabili a un attacco che cede il controllo dei dispositivi ai cybercrminali: c'è già una patch (da installare subito per evitare problemi)

di pubblicata il , alle 17:41 nel canale Security
Qnap
 

Sono centinaia di migliaia i NAS QNAP affetti da tre vulnerabilità che, sfruttate insieme, permettono di ottenere il controllo del dispositivo da remoto. L'azienda è stata informata dei problemi a giugno 2019 da un ricercatore di sicurezza e ha provveduto a emanare delle patch già a dicembre: il problema, svelato pochi giorni fa, è dunque stato risolto da tempo.

Vulnerabilità sui NAS QNAP: c'è già la patch, aggiornare subito

Henry Huang, ricercatore di sicurezza taiwanese, ha scoperto lo scorso anno tre vulnerabilità nell'applicazione Photo Station presente sulla maggioranza dei NAS QNAP, come spiegato in un articolo che il ricercatore ha pubblicato su Medium per rivelare il problema. Le vulnerabilità hanno CVE numero CVE-2019-7192CVE-2019-7193 e CVE-2019-7194. Utilizzando queste vulnerabilità in sequenza è possibile autenticarsi senza fornire credenziali, inserire del codice PHP nella sessione e utilizzarlo per creare un accesso da remoto con privilegi di amministrazione (o di root).

Questo avviene perché il server web installato sui NAS QNAP viene eseguito con privilegi di root, lasciando quindi la porta aperta ad abusi.

Queste vulnerabilità mettono dunque a repentaglio la sicurezza dei dati custoditi sui NAS: se un malintenzionato riesce a portare a termine l'attacco, può avere teoricamente accesso a tutti i dati senza particolari limiti e sottrarre o eliminare informazioni preziose.

Se il problema può essere fastidioso per l'utenza casalinga, per l'utenza aziendale può rivelarsi seriamente problematico: i dati aziendali sono infatti spesso custoditi su NAS e, anche se gli stessi dati dovrebbero essere protetti da backup nel caso di perdita, non c'è protezione rispetto alla sottrazione di informazioni confidenziali.

Una patch che risolve tutte e tre le vulnerabilità è già stata emanata a dicembre 2019. Il metodo migliore per affrontare la situazione, se non è già stato fatto, è l'installazione della patch seguendo le istruzioni del produttore, dato che soluzioni alternative (come la preclusione dell'accesso a Internet) sono da considerare momentanee e non definitive.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^