Alert GCSA-21044 - Vulnerabilita' critiche in NAS QNAP

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

******************************************************************

Alert ID: GCSA-21044
Data: 22 Aprile 2021
Titolo: Vulnerabilita' critiche in NAS QNAP

******************************************************************


:: Descrizione del problema

Sono state identificate due vulnerabilita' critiche nei NAS QNAP,
che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario
ed ottenere il controllo del device NAS che ne sia affetto.

Ci e' stato segnalato che alcuni dispositivi di storage di rete di QNAP
sono stati oggetto di un attacco ransomware (QLOCKER), portato a termine sfruttando una delle
sopra menzionate vulnerabilita'.

Il 16 Aprile scorso QNAP ha rilasciato degli aggiornamenti che risolvono tali vulnerabilita'.
Vi invitiamo pertanto a provvedere quanto prima all'aggiornamento dei vostri sistemi,
qualora non abbiate gia' provveduto.


:: Software interessato

versioni precedenti alle seguenti:

QTS 4.5.2.1566 Build 20210202
QTS 4.5.1.1495 Build 20201123
QTS 4.3.6.1620 Build 20210322
QTS 4.3.4.1632 Build 20210324
QTS 4.3.3.1624 Build 20210416
QTS 4.2.6 Build 20210327
QuTS hero h4.5.1.1491 build 20201119

QTS 4.3.3: Media Streaming add-on 430.1.8.10
QTS 4.3.6: Media Streaming add-on 430.1.8.8
QTS 4.4.x and later: Multimedia Console 1.3.4
QTS 4.3.3.1624 Build 20210416
QTS 4.3.6.1620 Build 20210322


:: Soluzioni

Aggiornare i sistemi alle ultime versioni rilasciate:

https://www.qnap.com/en/security-advisory/qsa-21-11
https://www.qnap.com/en/security-advisory/qsa-21-05


:: Riferimenti

QNAP Security Advisory:
https://www.qnap.com/en/security-advisory/qsa-21-11
https://www.qnap.com/en/security-advisory/qsa-21-05

BleepingComputer.com:
https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/

Mitre CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2509


GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----

iD8DBQFggTTJwZxMk2USYEIRAruoAKDIiXcb7gd+1m5zHdqMk4rg3p6SAwCfW4h9
3SRvJQUaTLO+bhGr5PesEhQ=
=mjGP
-----END PGP SIGNATURE-----