Henry Huang – un ricercatore taiwanese specializzato in sicurezza – ha reso noto di avere individuato alcune vulnerabilità nel firmware di network-attached storage (NAS) di QNAP: il ricercatore riferisce che tre bug sono legati a Photo Station, app che consente di organizzare album fotografici online sui NAS del costruttore per condividerli con amici e parenti via Internet. L’app in questione è preinstallata di serie con le recenti versioni dei NAS di QNAP.
Huang riferisce che l’app Photo Station è installata di serie sull’80% dei NAS QNAP, numero totale che il ricercatore quantifica in circa 450.000 dispositivi, sulla base di una stima approssimativa facendo dei calcoli usando Shodan IoT, motore di ricerca che permette di individuare oggetti dell’IoT insicuri.
Il ricercatore spiega che tutti i sistemi di QNAP sono vulnerabili ad attacchi da remoto. In un post sul blog Medium riferisce dettagli tecnici su tre delle quattro vulnerabilità che colpiscono i dispositivi QNAP individuate; tre vulnerabilità, come già detto riguardano l’app Photo Station (che gira sul NAS), la quarta riguarda QTS file manager, app per la gestione dei file. I bug sono così elencati nei database delle vulnerabilità:
- CVE-2019-7192 (CVSS 9.8) (bug Photo Station)
- CVE-2019-7194 (CVSS 9.8) (bug Photo Station)
- CVE-2019-7195 (CVSS 9.8) (bug Photo Station)
- CVE-2019-7193 (CVSS 9.8) (bug app QTS).
I bug dell’app Photo Station possono essere concatenati insieme per bypassare i meccanismi di autenticazione, inserire (sui dispositivi senza patch) codice malevolo nel codice PHP dell’app e installare una web shell (una funzionalità che permette di dare a un hacker il controllo remoto di una macchina). Huang spiega che, giacché l’app Photo Station viene eseguita con privilegi di root, gli attacker possono sfruttare i primi tre bug per prendere pieno controllo dei dispositivi QNAP.
Il ricercatore riferisce di avere individuato i bug lo scorso anno e di averli rivelati a QNAP a giugno. Dopo la segnalazione, QNAP ha rilasciato a novembre dello scorso anno aggiornamenti di sicurezza sia per l’app Photo Station, sia per QTS. Le istruzioni su come aggiornare i NAS QNAP sono indicate sul sito del produttore. L’aggiornamento dell’app QTS richiede l’update del firmware, mentre l’app Photo Station è disponibile come aggiornamento nell’App Center di QNAP. Agli utenti che non possono al momento eseguire aggiornamenti si raccomanda di scollegare i NAS da internet per evitare possibili attacchi.
Tutte le notizie, articoli e recensioni di macitynet che parlano di dispositivi QNAP sono disponibili a partire da questa pagina. Tutti gli articoli di macitynet dedicati alla sicurezza sono disponibili da questa pagina.
