Gravi vulnerabilità su QNAP
11/07/2023
PROTO: N231107
CERT Yoroi informa che è emersa la notizia di due vulnerabilità nei prodotti QTS, Multimedia Console e Media Streaming appartenenti a QNAP.
Qnap (Quality Network Appliance Provider) Systems, Inc. (o Qnap) è un produttore di dispositivi informatici con sede a Taiwan, specializzato in soluzioni di archiviazione di rete (NAS) per privati e imprese.
Nello specifico, le due vulnerabilità classificate come critiche, si suddividono cosi:
CVE-2023-23368: Diverse versioni del sistema operativo QNAP sono state colpite dalla OS command injection vulnerability. La vulnerabilità potrebbe consentire a criminali remoti di eseguire comandi attraverso una rete se sfruttata.
Di seguito si riportano i prodotti con relative versioni vulnerabili e non:
| Affected Product | Fixed Version |
| QTS 5.0.x | QTS 5.0.1.2376 build 20230421 and later |
| QTS 4.5.x | QTS 4.5.4.2374 build 20230416 and later |
| QuTS hero h5.0.x | QuTS hero h5.0.1.2376 build 20230421 and later |
| QuTS hero h4.5.x | QuTS hero h4.5.4.2374 build 20230417 and later |
| QuTScloud c5.0.x | QuTScloud c5.0.1.2374 and later |
CVE-2023-23369: QNAP ha risolto un'altra falla di command injection che potrebbe consentire agli hacker remoti di eseguire comandi arbitrari attraverso la rete.
Di seguito si riportano i prodotti con relative versioni vulnerabili e non:
| Affected Product | Fixed Version |
| QTS 5.1.x | QTS 5.1.0.2399 build 20230515 and later |
| QTS 4.3.6 | QTS 4.3.6.2441 build 20230621 and later |
| QTS 4.3.4 | QTS 4.3.4.2451 build 20230621 and later |
| QTS 4.3.3 | QTS 4.3.3.2420 build 20230621 and later |
| QTS 4.2.x | QTS 4.2.6 build 20230621 and later |
| Multimedia Console 2.1.x | Multimedia Console 2.1.2 and later |
| Multimedia Console 1.4.x | Multimedia Console 1.4.8 and later |
| Media Streaming add-on 500.1.x | Media Streaming add-on 500.1.1.2 and later |
| Media Streaming add-on 500.0.x | Media Streaming add-on 500.0.0.11 and later |
Poiché i dispositivi NAS sono tipicamente utilizzati per archiviare i dati, le falle nell'esecuzione dei comandi potrebbero avere un grave impatto in quanto i criminali informatici sono spesso alla ricerca di nuovi obiettivi da cui rubare e/o crittografare i dati sensibili. Gli aggressori possono quindi chiedere un riscatto alla vittima per non far trapelare i dati o per decifrarli.
Agli utenti che utilizzano una delle versioni menzionate dei dispositivi QNAP si consiglia di aggiornare alla versione più recente per ridurre i potenziali pericoli, dal momento che questi dispositivi sono stati precedentemente utilizzati come bersaglio per attacchi ransomware.
Il vendor rilascia inoltre delle linee guida su come si possa aggiornare a versioni fixed:
- Gli amministratori possono accedere, visitare il Pannello di controllo > Sistema > Aggiornamento firmware e selezionare "Verifica aggiornamento" sotto Aggiornamento in tempo reale per scaricare e installare la versione più recente di QTS, QuTS hero o QuTScloud. Gli aggiornamenti possono anche essere scaricati manualmente dal sito web di QNAP.
- Individuando l'installazione nell'App Center e selezionando il pulsante "Aggiorna" (accessibile solo se esiste una versione più recente) si aggiornerà la Multimedia Console. L'aggiornamento del componente aggiuntivo Media Streaming, che gli utenti possono trovare anche cercando nell'App Center, segue una procedura simile.
A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index
Riferimenti Esterni
