QNAP ha annunciato il rilascio di aggiornamenti di sicurezza per due vulnerabilità critiche che affliggono i suoi dispositivi NAS. Queste vulnerabilità, se sfruttate, potrebbero permettere l’esecuzione di codice arbitrario da parte di attaccanti remoti.
Dettagli della vulnerabilità di iniezione di comando
La prima delle due vulnerabilità, tracciata come CVE-2023-23368 con un punteggio CVSS di 9.8, è stata descritta come un bug di iniezione di comando che colpisce le versioni di QTS, QuTS hero e QuTScloud. QNAP ha esortato gli utenti a procedere con l’aggiornamento alla versione più recente per prevenire possibili attacchi tramite rete.
Impatto e rischi per gli utenti
Le versioni interessate da questa vulnerabilità includono QTS 5.0.x, QTS 4.5.x, QuTS hero h5.0.x, QuTS hero h4.5.x e QuTScloud c5.0.x. Con gli aggiornamenti rilasciati, QNAP intende rafforzare la protezione contro le minacce e prevenire attacchi che potrebbero compromettere la sicurezza dei dati.
Altra falla di sicurezza risolta
Un’altra vulnerabilità di iniezione di comando, identificata come CVE-2023-23369 e con un punteggio CVSS di 9.0, riguarda QTS, la Console Multimediale e l’add-on Media Streaming. Anche in questo caso, QNAP ha fornito le correzioni necessarie per evitare l’esecuzione di comandi da parte di attaccanti remoti.
Versioni del software interessate
Le versioni del software interessate da questa seconda vulnerabilità includono QTS 5.1.x, QTS 4.3.6, QTS 4.3.4, QTS 4.3.3, QTS 4.2.x, Console Multimediale 2.1.x, Console Multimediale 1.4.x, add-on Media Streaming 500.1.x e 500.0.x.
Chiamata all’azione per gli utenti QNAP
Gli utenti in possesso di versioni vulnerabili sono incitati ad aggiornare immediatamente i propri dispositivi alla versione più recente per mitigare il rischio di attacchi. Questa azione segue la scoperta e la disattivazione di un server dannoso impiegato in attacchi di forza bruta contro dispositivi NAS esposti su internet con password non robuste.