QNAP Systems, Inc., una società taiwanese specializzata in dispositivi NAS (Network-attached storage), ha corretto le vulnerabilità di gravità critica che interessano la sua soluzione di videosorveglianza QVR. Se sfruttate, queste vulnerabilità consentono agli aggressori remoti di eseguire comandi arbitrari.
QNAP promuove il proprio software QVR come una soluzione professionale che consente il monitoraggio video in tempo reale, la registrazione, la riproduzione e le notifiche di allarme se abbinato alle telecamere IP supportate.
Ieri, l’azienda ha annunciato di aver corretto tre difetti di “command injection” sul suo software QVR per la gestione del monitoraggio video, due delle quali hanno ricevuto un punteggio di gravità critica di 9,8 su 10.
Due vulnerabilità sono tracciate come CVE-2021-34351 e CVE-2021-34348 e, secondo gli esperti, se sfruttate potrebbero consentire a un cybercriminale remoto di eseguire comandi su sistemi esposti. In questo modo, un utente malintenzionato potrebbe ottenere il controllo completo del dispositivo. Oltre a queste due falle di sicurezza, QNAP ne ha corretto un’altra, CVE-2021-34349 . È nella stessa classe della precedente ma con un livello di gravità inferiore di 7,2 su 10. La differenza di gravità è legata ai privilegi necessari per sfruttare i bug.
Le due vulnerabilità significative, secondo QNAP, hanno un impatto su alcuni dispositivi QVR che hanno raggiunto la fine del ciclo di vita (EoL). Molti consumatori probabilmente stanno ancora utilizzando i dispositivi anche se non sono più supportati, costringendo l’azienda a effettuare un aggiornamento del software (QVR 5.1.5 build 20210803). Non è chiaro se qualcuno dei difetti sia stato sfruttato.
All’inizio di quest’anno, una banda di criminali informatici ha sfruttato un difetto (credenziali hardcoded) nei dispositivi QNAP NAS per crittografare i file utilizzando il software di archiviazione 7-Zip in una campagna nota come ransomware Qlocker.
Alle vittime, principalmente consumatori e proprietari di piccole e medie imprese, è stato offerto il recupero dei file per $ 500, una tariffa relativamente bassa che molti erano disposti a pagare. Si dice che gli sviluppatori del ransomware Qlocker abbiano guadagnato almeno $ 260.000 dalle vittime in soli cinque giorni.