Rilevate vulnerabilità in alcuni NAS QNAP: dati a rischio, ecco come proteggersi

F-Secure, azienda leader nel settore della cyber security, ha individuato tre vulnerabilità in un dispositivo NAS della gamma QNAP Systems, più precisamente lo storage TVS-663; a causa di queste vulnerabilità il dispositivo potrebbe essere controllato da remoto da malintenzionati e utilizzato per rubare password e dati.

Il problema potrebbe riguardare milioni di dispositivi attualmente in uso, confermando il pericoloso trend che vede gli utenti sempre più esposti a minacce online. Come afferma Harry Sintonen, Senior Security Consultant di F-Secure:
“Abbiamo trovato 1,4 milioni di dispositivi ricercando le versioni del firmware attualmente in uso. Ma dal momento che molte persone non hanno mai aggiornato il loro firmware, il numero effettivo potrebbe essere molto più alto. Forse milioni”.

In cosa consistono precisamente queste vulnerabilità?

Come afferma Sintonen, molte vulnerabilità di questo tipo non sono gravi in sé, ma hacker con il giusto know-how potrebbero essere capaci di sfruttarle tutte insieme e causare un attacco su larga scala, trasformando piccole sviste di sicurezza in grandi opportunità per gli attaccanti.
Grazie all’indagine è emerso che gli hacker potrebbero usare queste vulnerabilità individuate nel processo di aggiornamento del firmware del dispositivo, per prenderne il controllo con ruolo di amministratore. Questo livello di controllo fornirebbe loro gli stessi diritti riservati ad amministratori legittimi, avendo la possibilità di installare malware, eseguire comandi da remoto e impossessarsi di dati e password.

Come è possibile proteggersi?

In attesa di una risoluzione definitiva, Janne Kauhanen, esperto di cyber security di F-Secure, consiglia agli utilizzatori di un dispositivo NAS TVS-663 di QNAP, o altri dispositivi che si basano sul firmware QTS firmware 4.2 e successive versioni, di disabilitare il sistema di aggiornamento automatico del firmware; fino a quando il problema sarà risolto Kauhanen consiglia di eseguire la verifica degli aggiornamenti manualmente con fonti sicure. Si tratta di misure temporanee fino all’uscita della patch definitiva, che mettono in sicurezza tutti coloro che stanno usando questo tipo dispositivi con dati riservati e informazioni sensibili.