NewsTecnologia

I NAS QNAP vulnerabili ad attacchi, ma c’è già la patch

Sono centinaia di migliaia i NAS QNAP affetti da tre vulnerabilità che, sfruttate insieme, permettono di ottenere il controllo del dispositivo da remoto. L’azienda è stata informata dei problemi a giugno 2019 da un ricercatore di sicurezza e ha provveduto a emanare delle patch già a dicembre: il problema, svelato pochi giorni fa, è dunque stato risolto da tempo.

Vulnerabilità sui NAS QNAP: c’è già la patch, aggiornare subito

Henry Huang, ricercatore di sicurezza taiwanese, ha scoperto lo scorso anno tre vulnerabilità nell’applicazione Photo Station presente sulla maggioranza dei NAS QNAP, come spiegato in un articolo che il ricercatore ha pubblicato su Medium per rivelare il problema. Le vulnerabilità hanno CVE numero CVE-2019-7192CVE-2019-7193 e CVE-2019-7194. Utilizzando queste vulnerabilità in sequenza è possibile autenticarsi senza fornire credenziali, inserire del codice PHP nella sessione e utilizzarlo per creare un accesso da remoto con privilegi di amministrazione (o di root).

Questo avviene perché il server web installato sui NAS QNAP viene eseguito con privilegi di root, lasciando quindi la porta aperta ad abusi.

Queste vulnerabilità mettono dunque a repentaglio la sicurezza dei dati custoditi sui NAS: se un malintenzionato riesce a portare a termine l’attacco, può avere teoricamente accesso a tutti i dati senza particolari limiti e sottrarre o eliminare informazioni preziose.

Se il problema può essere fastidioso per l’utenza casalinga, per l’utenza aziendale può rivelarsi seriamente problematico: i dati aziendali sono infatti spesso custoditi su NAS e, anche se gli stessi dati dovrebbero essere protetti da backup nel caso di perdita, non c’è protezione rispetto alla sottrazione di informazioni confidenziali.

Una patch che risolve tutte e tre le vulnerabilità è già stata emanata a dicembre 2019. Il metodo migliore per affrontare la situazione, se non è già stato fatto, è l’installazione della patch seguendo le istruzioni del produttore, dato che soluzioni alternative (come la preclusione dell’accesso a Internet) sono da considerare momentanee e non definitive.