Feb 03, 2023 Dario Orlandi Concept, Minacce, News, Ransomware, RSS 0

Il produttore di sistemi di storage QNAP ha annunciato una vulnerabilità critica che interessa decine di migliaia di dispositivi NAS (Network-Attached Storage). La vulnerabilità SQL injection (CVE-2022-27596) può essere sfruttata da attori remoti per iniettare codice dannoso in dispositivi QNAP esposti e non protetti.

La società ha valutato la vulnerabilità con un punteggio CVSS di 9,8 su 10 e ha dichiarato che può essere facilmente sfruttata da attori malintenzionati senza bisogno interazione dell’utente. QNAP raccomanda ai clienti di aggiornare il software del dispositivo alla versione più recente per prevenire eventuali attacchi.

I dispositivi interessati sono quelli che hanno installato i sistemi operativi QTS 5.0.1 e QuTS hero h5.0.1; per risolvere il problema è sufficiente svolgere la consueta procedura di aggiornamento, ma è opportuno forzare la verifica della presenza di nuove release del firmware per applicare le versioni più recenti.

QNAP non ha segnalato che la vulnerabilità sia effettivamente stata sfruttata in the wild, ma consiglia ai clienti di aggiornare i prodotti il prima possibile, perché i sistemi Nas sono tra i bersagli preferiti degli attacchi ransomware.

L’analisi di Censys

Il giorno dopo il rilascio degli aggiornamenti di sicurezza da parte di Qnap, Censys ha pubblicato un rapporto in cui stima l’impatto del problema e la situazione sul campo. Secondo l’analisi, solo una piccola percentuale dei dispositivi QNAP NAS online è stata patchata.

Di oltre 67.000 host individuati con sistemi basati QNAP, solo 557 hanno in esecuzione le versioni sicure di QuTS Hero o QTS, lasciando più del 98% dei dispositivi vulnerabili.

Fonte: Censys

Dopo gli Stati Uniti, l’Italia è il secondo Paese per numero di host individuati, e la prima per dispositivi vulnerabili. Fortunatamente, il difetto per ora non è ancora sfruttato e non c’è codice exploit, quindi gli amministratori hanno ancora un po’ di tempo per intervenire sui dispositivi.

Tuttavia, dal momento che i NAS QNAP sono stati presi di mira da diverse minacce ransomware in passato, i clienti devono installare immediatamente le patch per prevenire futuri attacchi.

Mark Ellzey, ricercatore di Censys, ha commentato: “Se l’exploit viene pubblicato e armato, potrebbe significare problemi a migliaia di utenti QNAP. Tutti devono aggiornare immediatamente i propri dispositivi QNAP per essere al sicuro da future campagne ransomware”.

Oltre ad aggiornare il dispositivo NAS al più presto, è anche consigliabile non renderlo accessibile da remoto se non strettamente necessario. QNAP aveva consigliato ai clienti con dispositivi esposti verso Internet di disattivare la funzione Port Forwarding del router, disabilitare la funzione UPnP del QNAP NAS e i servizi più pericolosi, come Ssh o Telnet.