Vulnerabilità con gravità 9,8/10 per i NAS QNAP: c'è già la patch, ma il 98% non l'ha installata

Sarebbero decine di migliaia i NAS prodotti da QNAP a essere affetti da una vulnerabilità che sarebbe facile da sfruttare e che darebbe il controllo totale del dispositivo all'attaccante. QNAP ha già emesso una patch correttiva, ma sarebbero pochissimi i dispositivi su cui questa è già stata installata.

Nuova vulnerabilità grave per i NAS di QNAP

La vulnerabilità, che ha ottenuto un punteggio di gravità pari a 9,8 su 10, è indicata dal numero CVE-2022-27596 e rende possibile effettuare un attacco di SQL injection per il quale non sono necessari permessi e che consente di ottenere il controllo completo del dispositivo vittima. Sono coinvolti i dispositivi dotati di sistema operativo QTS con versioni inferiori alla 5.0.1.2234 e quelli con QuTS hero con versioni antecedenti alla h5.0.1.2248.

Censys ha verificato come siano presenti 67.415 dispositivi QNAP direttamente accessibili in Rete, ma come solo 30.250 di questi comunichino la versione del sistema operativo usata. Di tali 30.250, il 98% risultava vulnerabile; ribaltando la cosa, solo 557 erano dotati di un sistema operativo con la patch già applicata. Ciò significa che quasi 30.000 dispositivi, e probabilmente molti di più, sono vulnerabili ad attacchi.

È significativo notare come l'Italia risulti, nell'indagine di Censys, il secondo Paese al mondo per numero di dispositivi rilevati, con 3.239 NAS pubblicamente accessibili di cui appena 39 dotati della patch.

Al di là dell'applicazione immediata della patch, è consigliabile disabilitare l'accesso da Internet ai NAS per evitare problemi di questo tipo. Sono infatti molteplici i casi di malware che, negli anni, hanno preso di mira proprio i dispositivi QNAP accessibili via Internet: tra gli altri, ricordiamo Checkmate, Deadbolt e Qlocker.