Vulnerabilità critiche su QNAP
03/14/2024
PROTO: N240308
CERT-Yoroi informa che sono state rese note tre vulnerabilità critiche su QNAP che affliggono i prodotti software NAS tra cui QTS, QuTS Hero, QuTScloud, e myQNAPcloud che consentono agli aggressori remoti l’esecuzione di Command Injection, SQL Injection e Authentication Bypass.
QNAP è un'azienda leader nel settore delle soluzioni di storage di rete (NAS) e di computing di bordo. I prodotti QNAP offrono una vasta gamma di funzionalità, tra cui la condivisione di file, il backup dei dati, la virtualizzazione, la videosorveglianza e altro.
Nello specifico, all’interno del security advisory pubblicato dal vendor, vengono elencate le tre vulnerabilità critiche che si strutturano nel seguente modo:
- CVE-2024-21899: Tale vulnerabilità di "Improper authentication” potrebbe consentire ad attaccanti di compromettere la sicurezza del sistema tramite la rete. Un utente malintenzionato potrebbe sfruttare tale falla per ottenere accesso non autorizzato al sistema e alterare le informazioni;
- CVE-2024-21900: E’ una falla di tipo “Command Injection” che potrebbe consentire ad utenti malintenzionati autenticati di eseguire comandi arbitrari sul sistema tramite la rete sulle macchine esposte e vulnerabili, portando potenzialmente ad accesso ad informazioni riservate o controlli non autorizzati sul sistema;
- CVE-2024-21901: Vulnerabilità di tipo “SQL injection” che potrebbe consentire a possibili attori malevoli aventi autenticazione a livello amministratore di iniettare codice dannoso tramite la rete, compromettendo potenzialmente l'integrità dei database e manipolandone i contenuti.
Sebbene le CVE-2024-21900 e CVE-2024-21901 richiedano che gli aggressori siano autenticati sul sistema target, il che riduce significativamente il rischio, la CVE-2024-21899 potrebbe essere sfruttata in remoto senza autenticazione ed è classificata come "a bassa complessità".
QNAP ha risolto le vulnerabilità che affliggono le diverse versioni dei software con la release rilasciata il 9 marzo, la quale può essere scaricata tramite il portale ufficiale di download del vendor.
Le vulnerabilità sono state risolte nelle seguenti versioni:
| Affected Product | Fixed Version |
| QTS 5.1.x | QTS 5.1.3.2578 build 20231110 e successive |
| QTS 4.5.x | QTS 5.1.3.2578 build 20231110 e successive |
| QuTS hero h5.1.x | QuTS hero h5.1.3.2578 build 20231110 e successive |
| QuTS hero h4.5.x | QuTS hero h4.5.4.2626 build 20231225 e successive |
| QuTScloud c5.x | QuTScloud c5.1.5.2651 e versioni successive |
| myQNAPcloud 1.0.x | myQNAPcloud 1.0.52 (24/11/2023) e versioni successive |
Per garantire la sicurezza dei dispositivi, si consiglia di aggiornare sistemi e le applicazioni alla versione più recente disponibile. È possibile verificare lo stato di supporto del prodotto per visualizzare gli ultimi aggiornamenti disponibili per il proprio modello NAS.
A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanate e successivamente il patching alle versioni suggerite dal vendor.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index
Riferimenti Esterni
- https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-auth-bypass-flaw-in-its-nas-devices/
- https://www.qnap.com/en/security-advisory/qsa-24-09
