QnapNAS Aziendali

Vulnerabilità con gravità 9,8/10 per i NAS QNAP: c'è già la patch, ma il 98% non l'ha installata

di pubblicata il , alle 18:01 nel canale Security Vulnerabilità con gravità 9,8/10 per i NAS QNAP: c'è già la patch, ma il 98% non l'ha installata

I NAS di QNAP sono vittima di una nuova vulnerabilità, che rende possibile attaccarli da remoto e prenderne il controllo. C'è già una patch per correggere il problema, ma quasi nessuno dei NAS visibili in Rete l'ha installata

 

Sarebbero decine di migliaia i NAS prodotti da QNAP a essere affetti da una vulnerabilità che sarebbe facile da sfruttare e che darebbe il controllo totale del dispositivo all'attaccante. QNAP ha già emesso una patch correttiva, ma sarebbero pochissimi i dispositivi su cui questa è già stata installata.

Nuova vulnerabilità grave per i NAS di QNAP

La vulnerabilità, che ha ottenuto un punteggio di gravità pari a 9,8 su 10, è indicata dal numero CVE-2022-27596 e rende possibile effettuare un attacco di SQL injection per il quale non sono necessari permessi e che consente di ottenere il controllo completo del dispositivo vittima. Sono coinvolti i dispositivi dotati di sistema operativo QTS con versioni inferiori alla 5.0.1.2234 e quelli con QuTS hero con versioni antecedenti alla h5.0.1.2248.

Censys ha verificato come siano presenti 67.415 dispositivi QNAP direttamente accessibili in Rete, ma come solo 30.250 di questi comunichino la versione del sistema operativo usata. Di tali 30.250, il 98% risultava vulnerabile; ribaltando la cosa, solo 557 erano dotati di un sistema operativo con la patch già applicata. Ciò significa che quasi 30.000 dispositivi, e probabilmente molti di più, sono vulnerabili ad attacchi.

È significativo notare come l'Italia risulti, nell'indagine di Censys, il secondo Paese al mondo per numero di dispositivi rilevati, con 3.239 NAS pubblicamente accessibili di cui appena 39 dotati della patch.

Al di là dell'applicazione immediata della patch, è consigliabile disabilitare l'accesso da Internet ai NAS per evitare problemi di questo tipo. Sono infatti molteplici i casi di malware che, negli anni, hanno preso di mira proprio i dispositivi QNAP accessibili via Internet: tra gli altri, ricordiamo Checkmate, Deadbolt e Qlocker.

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sig. Stroboscopico03 Febbraio 2023, 19:15 #1
Wow... considerando che la patch mi sembra sia di dicembre e che si possa farla installare pure automaticamente siamo messi proprio bene...
fbadini04 Febbraio 2023, 09:04 #2
Incredibile come QNAP bacato sia usato nel nostro paese…
Roman9104 Febbraio 2023, 10:48 #3
è quasi triste far parte dei 39 con il dispositivo aggiornato; considerando che l'aggiornamento si autoinstalla
aqua8404 Febbraio 2023, 11:42 #4
Originariamente inviato da: fbadini
Incredibile come QNAP bacato sia usato nel nostro paese…


Eh si xche le altre marche invece... esenti totalmente da bugs
insane7404 Febbraio 2023, 13:26 #5
Originariamente inviato da: fbadini
Incredibile come QNAP bacato sia usato nel nostro paese…


è triste che ci siano così tanti NAS (indipendentemente dalla marca) esposti su internet e non aggiornati!
è proprio volersi fare del male!

io ho un QNAP con gli aggiornamenti automatici attivati, ma è tutto blindato, nulla è esposto ad internet.
se proprio ho necessità di collegarmi da fuori passo per una VPN.
sk0rpi0n05 Febbraio 2023, 09:31 #6
QNAP sempre peggio, negli ultimi anni è un colabrodo; sempre più convinto di essere felicemente passato a Synology alcuni anni orsono, a livello software è imbattibile.
V4n{}u|sH05 Febbraio 2023, 11:28 #7
Originariamente inviato da: sk0rpi0n
QNAP sempre peggio, negli ultimi anni è un colabrodo; sempre più convinto di essere felicemente passato a Synology alcuni anni orsono, a livello software è imbattibile.


Quoto in tutto e per tutto.
hiroshi97605 Febbraio 2023, 16:14 #8
Le "crociate" hacker contro un marchio mi puzzano sempre, io ho una visione diversa della faccenda.
Sinceramente di contro penso sia assurdo invece che un dispositivo esposto in rete, non venga aggiornato dal suo amministratore. A prescindere dal motivo, il dato numerico riportato nella notizia è davvero imbarazzante. Soprattutto per gli amministratori di quei NAS.
\_Davide_/05 Febbraio 2023, 19:33 #9
Originariamente inviato da: sk0rpi0n
QNAP sempre peggio, negli ultimi anni è un colabrodo; sempre più convinto di essere felicemente passato a Synology alcuni anni orsono, a livello software è imbattibile.


É come fare la crociata Microsoft vs Apple. I dispositivi Synology sono molti meno, specie a livello enterprise dove se ne vedono molto di rado. Hanno anche meno funzioni, che però sono sviluppate meglio.

Originariamente inviato da: hiroshi976
Le "crociate" hacker contro un marchio mi puzzano sempre, io ho una visione diversa della faccenda.
Sinceramente di contro penso sia assurdo invece che un dispositivo esposto in rete, non venga aggiornato dal suo amministratore. A prescindere dal motivo, il dato numerico riportato nella notizia è davvero imbarazzante. Soprattutto per gli amministratori di quei NAS.


Il problema è che i Qnap Enterprise potrebbero non ripartire in seguito ad un riavvio

IMHO è imbarazzante che vengano esposti sul www.
leoben05 Febbraio 2023, 20:17 #10
Originariamente inviato da: Roman91
è quasi triste far parte dei 39 con il dispositivo aggiornato; considerando che l'aggiornamento si autoinstalla


Anche il mio è aggiornato alla versione QTS 5.0.1.2248, e lo è dal 15/12/22.
Non capisco perchè ci sia chi decide di non aggiornare.
Ammetto che anch'io aspetto 1-2 settimane dopo l'avviso della nuova release. Questo per evitare, come già successo in passato, che certi aggiornamenti possano creare problemi imprevisti. Ma poi, proprio per le patch relative alla sicurezza, aggiorno senza pensarci tanto...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^