Il NAS QNAP e il bug della sicurezza dei dati della app Photo Studio

Oggi parliamo un po' di sicurezza dati sui Nas. A partire dagli ultimi mesi di Giugno 2019 vi è stato un crescendo di segnalazioni relative ai NAS QNAP e la sicurezza (mancata) dei dati contenuti all?interno del sistema, e quindi la perdita dei dati contenuti al suo interno.

Si è verificato qualcosa di molto simile al disastro dei Seagate Barracuda che, molti lo ricorderanno, per successiva ammissione della casa produttrice, erano affetti da un difetto di fabbricazione che li rendeva vulnerabili a livello di elettronica.

Il NAS QNAP e il bug della sicurezza dei dati dell?app Photo Studio

Il NAS QNAP sembra avessero un bug al livello di sicurezza dei dati, che li rendeva facilmente accessibili anche da remoto, con estrema facilità, esponendo i dati interni alla portata di chiunque. Gli utenti che utilizzano NAS QNAP per i propri dati però possono già tirare un sospiro di sollievo poiché il problema, che evidentemente veniva studiato da tempo, e per cui squadre di tecnici erano al lavoro per arrivare alla soluzione, è stato risolto e arginato. La soluzione trovata è riuscita a mettere in sicurezza i nostri dati.

I sistemi NAS QNAP sono dotati, nella stragrande maggioranza, dell?applicazione Photo Station, ed è proprio questa che presentava le vulnerabilità che rendevano accessibile il sistema anche senza credenziali, mettendo in serio pericolo i dati contenuti in esso.

Tutte le versioni precedenti la 6.0.3, 5.2.11, 5.4.9 (versione successiva alla risoluzione del problema) erano esposte a tale rischio, e potenzialmente, tutti i dati contenuti non solo nell?app Photo Station ma nel server stesso potevano essere aperti e visualizzati da chiunque accedesse. Il fatto che il server web installato sul QNAP venisse eseguito in modalità root, quindi aperto, rendeva facilissimo l?ingresso.

Le tre vulnerabilità sono state identificate e rese pubbliche (rispettivamente CVE-2019-7192, CVE-2019-7193 e CVE-2019-7194); le analisi affermano che inserendo tali chiavi in sequenza chiunque sia in grado di accedere al sistema, e quindi ai dati, senza bisogno di identificarsi con le credenziali di accesso, e gestendo tutto come amministratore grazie ai permessi di root, inserendo semplicemente il codice PHP nella sessione.

Proviamo ad immaginare quanto possa risultare compromettente e grave una situazione in cui dall'esterno si riesca ad entrare nel sistema QNAP di un?azienda e visualizzare dati sensibili come anagrafiche, contabilità e informazioni riservate di ogni genere.

Come risolvere il problema di sicurezza dei dati sul NAS QNAP?

La soluzione è aggiornare il QNAP immediatamente con l?ultima versione disponibile.

Alcune soluzioni su come limitare o escludere completamente l?accesso alla rete Internet da parte del NAS QNAP possono aiutare solo momentaneamente, ma non sono da considerarsi definitive o risolutive a lungo termine.

A fine Novembre 2019, tutte e tre le vulnerabilità sono state risolte, la patch è stata rilasciata ed è alla portata di tutti. Se non lo avete già fatto è necessario procedere all?aggiornamento del Photo Station nell?ultima versione ?disponibile. Aggiornare Photo Station è semplice, basta aprire l?App Center del sistema, inserire il nome del tool Photo Station nel box di ricerca, e scegliere Update, attendere la conferma dal sistema.

Un attacco di questo genere può essere davvero dannoso sia per un utente privato sia per un?azienda che molto spesso detiene tutti i dati su un unico sistema di rete, e, ancor più spesso, non ha altri accessi agli stessi file poiché privi di backup aggiornati, incorrendo così in una situazione ancor più incresciosa di perdita dei dati.

I sistemi NAS, QNAP in particolare, trovano largo utilizzo sia in ambienti domestici che professionali. La semplicità delle interfacce, e dei sistemi, nonché la caratteristica univoca della condivisione dei file in rete, fa di questi sistemi le memorie più diffuse per eccellenza. Vi sono diverse categorie di NAS, variano in base a prezzi, qualità e prestazioni, ad ognuno il suo NAS.