il bug openssl sui nas

Vulnerabilità OpenSSL “Infinite Loop” affligge i dispositivi NAS di QNAP: i dettagli

La quasi totalità dei dispositivi NAS di QNAP in circolazione è affetta da una vulnerabilità, ancora priva di patch, ereditata dalla libreria crittografica open source OpenSSL: se sfruttata, consente agli aggressori di condurre attacchi Denial of Service in grado di mandare in crash i dispositivi. Ecco tutti i dettagli

31 Mar 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Alcuni dispositivi di archiviazione di rete NAS dell’azienda taiwanese QNAP sono interessati da una vulnerabilità nella libreria crittografica open source OpenSSL. La vulnerabilità, già riconosciuta e corretta da OpenSSL, non ha ancora visto una patch applicabile sui dispositivi QNAP.

Bug OpenSSL colpisce i NAS di QNAP

L’effettivo sfruttamento della vulnerabilità potrebbe consentire agli aggressori di eseguire attacchi Denial of Service.

Il problema (CVE-2022-0778) è stato valutato con punteggio 7,5 sulla scala CVSS ed è correlato a un bug che si verifica durante l’analisi dei certificati di sicurezza per attivare una condizione di Denial of Service che causa un crash remoto dei dispositivi interessati.

dal 14 al 17 giugno 2022
FORUM PA 2022. Polo Strategico Nazionale e Strategia Cloud Italia
Cloud
Datacenter

Le versioni del sistema operativo interessate da questa vulnerabilità sono:

  • QTS 5.0.x e successive
  • QTS 4.5.4 e successive
  • QTS 4.3.6 e successive
  • QTS 4.3.4 e successive
  • QTS 4.3.3 e successive
  • QTS 4.2.6 e successive
  • QuTS hero h5 .0.x e versioni successive
  • QuTS hero h4.5.4 e versioni successive
  • QuTScloud c5.0.x

Come funziona il bug del “ciclo infinito”

Il problema è riscontrabile nella funzione BN_mod_sqrt() di OpenSSL, atta a calcolare la radice quadrata di un modulo, passando quindi alla funzione parametri non validi con il risultato di fare entrare la funzione stessa in un ciclo infinito che provoca il crash del programma.

Dalla pagina del NIST riguardante la vulnerabilità sopra indicata, si apprende che “il ciclo infinito può essere raggiunto anche durante l’analisi delle chiavi private create, in quanto possono contenere parametri espliciti della curva ellittica”.

Inoltre va detto che, al momento, non ci sono prove di sfruttamento della vulnerabilità in attacchi reali, anche se non sarebbe un compito particolarmente complicato scrivere un exploit che possa sfruttare tale vulnerabilità. “Il difetto non è troppo difficile da sfruttare, ma l’impatto è limitato al DoS”, questa la dichiarazione rilasciata da un portavoce di OpenSSL a BleepingComputer.

Come scritto, QNAP non è ancora riuscito ad applicare un aggiornamento valido per poter diffondere il fix proposto da OpenSSL, mentre invece dichiara ufficialmente ai clienti che “QNAP sta indagando a fondo sul caso, rilasceremo aggiornamenti di sicurezza e forniremo ulteriori informazioni il prima possibile”.

Sembra, dunque, si tratti di un ritardo nella catena produttiva di QNAP, per la gestione degli aggiornamenti di sicurezza. L’unica misura di mitigazione disponibile al momento per gli utenti di dispositivi QNAP interessati è quella di rivolgere maggiore attenzione alla vicenda in attesa dei prossimi imminenti aggiornamenti da parte dell’azienda, per applicarli quanto prima.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4