QNAP avverte di un difetto critico di bypass di autenticazione nei suoi dispositivi NAS
Pubblicato da Angelo Domeneghini in Vulnerabilità Firewall/Modem/Router_BUG · 12 Marzo 2024
QNAP avverte di un difetto critico di bypass di autenticazione nei suoi dispositivi NAS
QNAP avverte delle vulnerabilità nei suoi prodotti software NAS, inclusi QTS, QuTS hero, QuTScloud e myQNAPcloud, che potrebbero consentire agli aggressori di accedere ai dispositivi.
Il produttore taiwanese di dispositivi NAS (Network attached storage) ha rivelato tre vulnerabilità che possono portare al bypass dell'autenticazione, all'iniezione di comandi e all'iniezione SQL.
Mentre gli ultimi due richiedono che gli aggressori siano autenticati sul sistema di destinazione, il che riduce significativamente il rischio, il primo (CVE-2024-21899) può essere eseguito in remoto senza autenticazione ed è contrassegnato come "a bassa complessità".
I tre difetti risolti sono i seguenti:
- .CVE-2024-21899: meccanismi di autenticazione impropri consentono agli utenti non autorizzati di compromettere la sicurezza del sistema attraverso la rete (da remoto).
- .CVE-2024-21900: questa vulnerabilità potrebbe consentire agli utenti autenticati di eseguire comandi arbitrari sul sistema tramite una rete, portando potenzialmente ad accesso o controllo non autorizzati del sistema.
- .CVE-2024-21901: questo difetto potrebbe consentire agli amministratori autenticati di iniettare codice SQL dannoso attraverso la rete, compromettendo potenzialmente l'integrità del database e manipolandone i contenuti.
I difetti riguardano varie versioni dei sistemi operativi QNAP, tra cui QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x e il servizio myQNAPcloud 1.0.x.
Si consiglia agli utenti di eseguire l'aggiornamento alle seguenti versioni, che risolvono i tre difetti:
QTS 5.1.3.2578 build 20231110 e successive
QTS 4.5.4.2627 build 20231225 e successive
QuTS hero h5.1.3.2578 build 20231110 e successive
QuTS hero h4.5.4.2626 build 20231225 e successive
QuTScloud c5.1.5.2651 e versioni successive
myQNAPcloud 1.0.52 (24/11/2023) e versioni successive
Per QTS, QuTS hero e QuTScloud, gli utenti devono accedere come amministratori, accedere a
"Pannello di controllo > Sistema > Aggiornamento firmware"
e fare clic su "Verifica aggiornamenti" per avviare il processo di installazione automatica.
Per aggiornare myQNAPcloud, accedere come amministratore, aprire 'App Center', fare clic sulla casella di ricerca e digitare "myQNAPcloud" + INVIO.
L'aggiornamento dovrebbe apparire nei risultati. Fare clic sul pulsante "Aggiorna" per iniziare.
I dispositivi NAS spesso archiviano grandi quantità di dati preziosi per aziende e privati, comprese informazioni personali sensibili, proprietà intellettuale e dati aziendali critici.
Allo stesso tempo, non vengono monitorati attentamente, rimangono sempre connessi ed esposti a Internet e potrebbero utilizzare sistemi operativi/firmware obsoleti.
Per tutti questi motivi, i dispositivi NAS sono spesso presi di mira per furti di dati ed estorsioni.
Alcune operazioni ransomware precedentemente note per prendere di mira i dispositivi QNAP sono DeadBolt, Checkmate e Qlocker.
Questi gruppi hanno lanciato numerose ondate di attacchi contro gli utenti NAS, a volte sfruttando exploit zero-day per violare dispositivi dotati di patch complete.
Il miglior consiglio per i possessori di NAS è di mantenere sempre aggiornato il software e, ancora meglio, di non esporre questi tipi di dispositivi a Internet.