Vulnerabilità con gravità 9,8/10 per i NAS QNAP: c'è già la patch, ma il 98% non l'ha installata
di Riccardo Robecchi pubblicata il 03 Febbraio 2023, alle 18:01 nel canale SecurityI NAS di QNAP sono vittima di una nuova vulnerabilità, che rende possibile attaccarli da remoto e prenderne il controllo. C'è già una patch per correggere il problema, ma quasi nessuno dei NAS visibili in Rete l'ha installata
Sarebbero decine di migliaia i NAS prodotti da QNAP a essere affetti da una vulnerabilità che sarebbe facile da sfruttare e che darebbe il controllo totale del dispositivo all'attaccante. QNAP ha già emesso una patch correttiva, ma sarebbero pochissimi i dispositivi su cui questa è già stata installata.
Nuova vulnerabilità grave per i NAS di QNAP
La vulnerabilità, che ha ottenuto un punteggio di gravità pari a 9,8 su 10, è indicata dal numero CVE-2022-27596 e rende possibile effettuare un attacco di SQL injection per il quale non sono necessari permessi e che consente di ottenere il controllo completo del dispositivo vittima. Sono coinvolti i dispositivi dotati di sistema operativo QTS con versioni inferiori alla 5.0.1.2234 e quelli con QuTS hero con versioni antecedenti alla h5.0.1.2248.
Censys ha verificato come siano presenti 67.415 dispositivi QNAP direttamente accessibili in Rete, ma come solo 30.250 di questi comunichino la versione del sistema operativo usata. Di tali 30.250, il 98% risultava vulnerabile; ribaltando la cosa, solo 557 erano dotati di un sistema operativo con la patch già applicata. Ciò significa che quasi 30.000 dispositivi, e probabilmente molti di più, sono vulnerabili ad attacchi.
È significativo notare come l'Italia risulti, nell'indagine di Censys, il secondo Paese al mondo per numero di dispositivi rilevati, con 3.239 NAS pubblicamente accessibili di cui appena 39 dotati della patch.
Al di là dell'applicazione immediata della patch, è consigliabile disabilitare l'accesso da Internet ai NAS per evitare problemi di questo tipo. Sono infatti molteplici i casi di malware che, negli anni, hanno preso di mira proprio i dispositivi QNAP accessibili via Internet: tra gli altri, ricordiamo Checkmate, Deadbolt e Qlocker.
18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoEh si xche le altre marche invece... esenti totalmente da bugs
è triste che ci siano così tanti NAS (indipendentemente dalla marca) esposti su internet e non aggiornati!
è proprio volersi fare del male!
io ho un QNAP con gli aggiornamenti automatici attivati, ma è tutto blindato, nulla è esposto ad internet.
se proprio ho necessità di collegarmi da fuori passo per una VPN.
Quoto in tutto e per tutto.
Sinceramente di contro penso sia assurdo invece che un dispositivo esposto in rete, non venga aggiornato dal suo amministratore. A prescindere dal motivo, il dato numerico riportato nella notizia è davvero imbarazzante. Soprattutto per gli amministratori di quei NAS.
É come fare la crociata Microsoft vs Apple. I dispositivi Synology sono molti meno, specie a livello enterprise dove se ne vedono molto di rado. Hanno anche meno funzioni, che però sono sviluppate meglio.
Sinceramente di contro penso sia assurdo invece che un dispositivo esposto in rete, non venga aggiornato dal suo amministratore. A prescindere dal motivo, il dato numerico riportato nella notizia è davvero imbarazzante. Soprattutto per gli amministratori di quei NAS.
Il problema è che i Qnap Enterprise potrebbero non ripartire in seguito ad un riavvio
IMHO è imbarazzante che vengano esposti sul www.
Anche il mio è aggiornato alla versione QTS 5.0.1.2248, e lo è dal 15/12/22.
Non capisco perchè ci sia chi decide di non aggiornare.
Ammetto che anch'io aspetto 1-2 settimane dopo l'avviso della nuova release. Questo per evitare, come già successo in passato, che certi aggiornamenti possano creare problemi imprevisti. Ma poi, proprio per le patch relative alla sicurezza, aggiorno senza pensarci tanto...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".