Synology e QNAP hanno reso noto ai clienti che alcuni dei loro dispositivi NAS (network-attached storage) sono interessati da diverse vulnerabilità critiche in Netatalk che li espongono ad attacchi informatici.

“Vulnerabilità multiple consentono agli aggressori remoti di ottenere informazioni riservate ed eventualmente eseguire codice arbitrario tramite una versione suscettibile di Synology DiskStation Manager (DSM) e Synology Router Manager (SRM)”, si legge nella comunicazione di Synology.

Netatalk è un’implementazione gratuita e open source di AFP (Apple Filing Protocol) che permette ai sistemi operativi *NIX/*BSD simili a Unix di fungere da file server AppleShare per computer basati su macOS, dando accesso ai file archiviati sui dispositivi QNAP NAS che supportano il protocollo AFP.

Gli esperti di Netatalk hanno risolto le vulnerabilità nella versione 3.1.1 pubblicata il 22 marzo. Synology ha ora evidenziato e avvertito i clienti di altri tre nuovi bug, tracciati come CVE-2022-23125, CVE-2022-23122, CVE-2022-0194), che consentono ad attori malevoli l’esecuzione di codice arbitrario da remoto sui dispositivi interessati.

Nonostante le patch di Netatalk siano state pubblicate il mese scorso, Synology afferma che alcuni dei prodotti coinvolti utilizzano ancora versioni non patchate. Al momento l’azienda non ha comunicato le date di pubblicazione di questi futuri aggiornamenti.

Inoltre, l’azienda ha aggiunto che le vulnerabilità in Netatalk sono già state risolte per i dispositivi con DiskStation Manager (DSM) 7.1 con l’aggiornamento alla versione 7.1-42661-1 o successiva.

Anche QNAP ha reso note delle vulnerabilità critiche in Netatalk per i suoi NAS, invitando vivamente i clienti a disabilitare il protocollo AFP sui propri dispositivi NAS fino a quando non saranno risolte. I bug sono presenti nelle versioni del sistema operativo dell’azienda QTS, QuTS e QuTScloud.

QNAP ha pubblicato le patch per le vulnerabilità in QTS 4.5.4.2012 per la build 20220419 e successive.

 

https://www.securityinfo.it/2022/04/29/bug-critici-in-netatalk-per-nas-di-synology-e-qnap/

https://www.synology.com/it-it/security/advisory/Synology_SA_22_06

Twitter
Visit Us
LinkedIn
Share
YOUTUBE