Zero-day in QNAP QTS: cosa fare per proteggere i dispositivi NAS

La vulnerabilità CVE-2023-50358 è una vulnerabilità di iniezione di comandi che colpisce diverse versioni del sistema operativo QNAP QTS e QuTS hero (prodotti affetti: QTS 5.x, 4.x; QuTS hero h5.x, h4.x, QuTScloud 5.x) usato nei dispositivi NAS (Network Attached Storage). Se sfruttata, la vulnerabilità potrebbe consentire agli utenti malintenzionati di eseguire comandi arbitrari sui dispositivi NAS vulnerabili tramite una rete.

La vulnerabilità

La vulnerabilità è stata scoperta a novembre 2023 da Unit 42 di Palo Alto Networks e segnalata a QNAP, che ha rilasciato delle patch di sicurezza per le versioni interessate del firmware. Si stima che circa 290.000 dispositivi NAS di QNAP siano esposti a questa vulnerabilità, con la maggior parte concentrati in Germania, Stati Uniti, Cina, Italia, Giappone, Taiwan e Francia.

La vulnerabilità è stata “trovata nel componente quick.cgi del firmware QNAP QTS accessibile senza autenticazione. La vulnerabilità si verifica quando il parametro della richiesta HTTP todo=set_timeinfo è impostato e il parametro SPECIFIC_SERVER viene salvato in un file di configurazione /tmp/quick/quick_tmp.conf con il nome della voce Indirizzo NTP. Il componente avvia quindi la sincronizzazione dell’ora utilizzando l’utilità ntpdate e l’esecuzione della riga di comando è garantita leggendo l’indirizzo NTP in quick_tmp.conf e system(). I dati non attendibili del parametro SPECIFIC_SERVER aiutano a creare una riga di comando, che viene eseguita nella shell, portando all’esecuzione arbitraria del comando.”, spiegano i ricercatori di Unit 42.

Come proteggersi

Per proteggere i propri dispositivi NAS da questa vulnerabilità, QNAP raccomanda agli utenti di aggiornare il firmware QTS o QuTS hero alla versione più recente, o di applicare le patch di sicurezza disponibili sul suo sito web. Inoltre, si suggerisce agli utenti di seguire alcune buone pratiche di sicurezza, come usare password forti e disabilitare i servizi non necessari.

Su Salvatore Lombardo 258 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.