QNAP, produttore di NAS (Network-Attached Storage) ha risolto un bug che consentiva agli hacker di accedere alle risorse di sistema consentendo loro di aumentare i privilegi, eseguire comandi in remoto e leggere informazioni sensibili senza autorizzazione.
La vulnerabilità, in particolare, riguardava un improprio controllo di accesso ai dispositivi esposti ed è stata scoperta nell’app HBS 3 Hybrid Backup Sync, ovvero la soluzione di ripristino di emergenza e backup dei dati di QNAP.
Indice degli argomenti
QNAP, bug critico nel tool di backup: la correzione
La stessa QNAP afferma, comunque, che il bug relativo alla sicurezza è già stato corretto nelle seguenti versioni del software HBS e consiglia a tutti i clienti di aggiornare l’applicazione all’ultima versione rilasciata:
- QTS 4.3.6: HBS 3 v3.0.210507 e versioni successive
- QTS 4.3.4: HBS 3 v3.0.210506 e versioni successive
- QTS 4.3.3: HBS 3 v3.0.210506 e versioni successive
Per aggiornare HBS sul dispositivo NAS, è necessario accedere come amministratore a QTS o QuTS hero (le due versioni di sistema operativo preinstallato sui NAS di QNAP), cercare la voce HBS 3 Hybrid Backup Sync nell’App Center, quindi fare clic su Aggiorna e OK per aggiornare l’app (se l’opzione Aggiorna non è disponibile, vuol dire che HBS è già aggiornato.)
Stranamente, mentre QNAP ha pubblicato l’avviso di sicurezza annunciando che la vulnerabilità nel tool di backup dei propri NAS è stata corretta nei giorni scorsi, le note di rilascio dell’app non indicano alcun aggiornamento di sicurezza dal 14 maggio 2021.
Secondo l’azienda, i dispositivi QNAP NAS che eseguono QTS 4.5.x con HBS 3 v16.x non sono interessati da questa vulnerabilità di sicurezza e non sono stati esposti ad attacchi hacker.
Account backdoor HBS sfruttato dal ransomware Qlocker
QNAP ha risolto anche un’altra vulnerabilità di sicurezza critica rilevata sempre nell’app di backup e ripristino di emergenza di HBS 3 Hybrid Backup Sync, questa volta però risalente ad aprile 2021.
In questo caso è stato corretto un difetto nella gestione degli account che, di fatto, consentiva di creare una backdoor per l’accesso da remoto ai dispositivi NAS.
Inizialmente descritta dalla società come “credenziali hardcoded” e poi come “autorizzazione impropria”, la vulnerabilità ha fornito di fatto un account backdoor agli operatori del ransomware Qlocker che ha consentito loro di crittografare i dispositivi NAS esposti su Internet.
A partire (almeno) dal 19 aprile, Qlocker ha iniziato a prendere di mira i dispositivi QNAP come parte di una massiccia campagna di attacchi, distribuendo payload di ransomware che spostavano i file delle vittime in archivi 7zip protetti da password richiedendo successivamente un riscatto.
Così facendo, gli hacker del ransomware avrebbero guadagnato circa 260mila dollari in soli cinque giorni chiedendo alle vittime riscatti di 0,01 Bitcoin (per un valore di circa 350 dollari al cambio attuale).
I consigli per mitigare i rischi
Lo stesso mese, QNAP ha esortato i propri clienti a proteggere i propri dispositivi NAS dagli attacchi del ransomware Agelocker mirati ai loro dati e, due settimane dopo, da un’altra campagna ransomware eCh0raix.
Da ricordare, inoltre, che i dispositivi QNAP erano stati già precedentemente attaccati dal ransomware eCh0raix (noto anche come QNAPCrypt) durante i mesi di giugno 2019 e giugno 2020.
Si consiglia quindi assoluta attenzione ai clienti che desiderano proteggere i propri dispositivi NAS da attacchi in entrata e di effettuare controlli e aggiornamenti periodici, meglio se giornalieri o settimanali, per migliorare la sicurezza del NAS.
