QNAP: intervento critico per risolvere falle di sicurezza nei NAS
Misure di sicurezza urgenti: QTS, QuTS hero e QuTScloud aggiornati per contrastare gravi minacce
QNAP ha rilasciato aggiornamenti per correggere due gravi vulnerabilità nei suoi dispositivi NAS, che potrebbero consentire ad attaccanti di eseguire comandi. È urgente installare questi aggiornamenti.
QNAP Systems ha rilasciato degli alert di sicurezza in cui si evidenziano due vulnerabilità rilevanti di command injection, che interessano molteplici versioni del firmware QTS, QuTS hero e QuTScloud sui propri dispositivi di storage collegati in rete (NAS). L'analista di cyber security Pierluigi Paganini ha evidenziato la serietà delle minacce che queste falle rappresentano.
Identificazione e rischio delle falle di sicurezza
Identificata con il codice CVE-2023-23368, la prima vulnerabilità ottiene un punteggio di 9,8, classificandosi nel novero delle problematiche a rischio critico. Un utente malevolo può sfruttare tale falla per eseguire comandi non autorizzati via rete. La seconda vulnerabilità, contrassegnata come CVE-2023-23369 e con un punteggio di gravità di 9,0, presenta un rischio altrettanto elevato.
Misure correttive per QNAP NAS
È prioritario per gli utenti dei dispositivi QNAP NAS interessati procedere in modo tempestivo all'applicazione degli aggiornamenti di sicurezza forniti dalla compagnia. Questi update sono essenziali per precludere l'attacco da parte di agenti malintenzionati che precedentemente hanno condotto campagne di malware mirate a sfruttare versioni firmware obsolete dei NAS QNAP.
Informazioni e procedure di aggiornamento
Gli amministratori di rete dovrebbero verificare nell'interfaccia di gestione del dispositivo, sotto la sezione di aggiornamento firmware, la disponibilità di nuove release e procedere al download e installazione delle versioni più aggiornate per mitigare il rischio. Anche i componenti Multimedia Console e Media Streaming add-on necessitano di essere controllati e aggiornati mediante l'App center del dispositivo. Infine, gli esperti suggeriscono di evitare il pagamento di riscatti in caso di attacchi, in quanto ciò non garantisce la risoluzione della compromissione dei dati.
Follow us on Telegram for more pills like this11/07/2023 21:09
Marco Verro