QNAP e Synology, NAS a rischio: vulnerabilità critiche in Netatalk, meglio disattivare il protocollo AFP

QNAP e Synology, NAS a rischio: vulnerabilità critiche in Netatalk, meglio disattivare il protocollo AFP

QNAP e Synology consigliano ai possessori dei rispettivi NAS di disattivare il protocollo AFP a causa di vulnerabilità in Netatalk, implementazione gratuita e open source dell'Apple Filing Protocol.

di pubblicata il , alle 12:51 nel canale Sicurezza
QnapSynology
 

QNAP e Synology stanno allertando gli utenti dei loro NAS sull'esistenza di attacchi che sfruttano molteplici vulnerabilità critiche di Netatalk. "Diverse vulnerabilità permettono a malintenzionati di ottenere da remoto informazioni sensibili ed eventualmente eseguire codice arbitrario tramite una versione suscettibile di Synology DiskStation Manager (DSM) e Synology Router Manager (SRM)", si legge in una nota di Synology dove si indicano le versioni del software affette da problema e l'eventuale esistenza di correttivi.

QNAP, invece, ha direttamente chiesto ai propri clienti di disabilitare il protocollo AFP (Apple Filing Protocol) a causa delle falle di sicurezza di Netatalk che metteno a rischio la sicurezza dell'intero NAS.

Netatalk è un'implementazione open-source di AFP che consente ai sistemi *NIX/*BSD di agire come un file server AppleShare per i client basati su macOS. In sostanza, sui NAS di QNAP, AFP consente ai sistemi Apple di accedere ai file presenti sul NAS. A detta di QNAP, AFP è ancora ampiamente adottato poiché "supporta diversi attributi macOS che non sono supportati da altri protocolli".

Secondo quanto riportato da Bleeping Computer, i membri dell'Exploit Development Group (EDG) di NCCGroup sfruttarono proprio una delle vulnerabilità di Netatalk in oggetto, identificata dal codice CVE-2022-23121, per eseguire codice senza alcuna autenticazione su un NAS Western Digital PR4100 con firmware My Cloud OS durante la competizione di hacking Pwn2Own 2021. Alla falla è stato conferito un rating di pericolosità di 9,8/10 (CVE-2022-23121).

Ci sono poi altre tre vulnerabilità che hanno ottenuto un punteggio di 9,8/10 e che rispondono ai codici CVE-2022-23125, CVE-2022-23122 e CVE-2022-0194.

Il 22 marzo, il team di sviluppo di Netatalk ha rilasciato la versione 3.1.13 che ha corretto i bug di sicurezza, tre mesi dopo la competizione in cui sono emersi. QNAP afferma che le vulnerabilità di Netatalk, risolte in QTS 4.5.4.2012 build 20220419 e successive, coinvolgono le seguenti versioni del sistema operativo:

  • QTS 5.0.x e versioni successive
  • QTS 4.5.4 e versioni successive
  • QTS 4.3.6 e versioni successive
  • QTS 4.3.4 e versioni successive
  • QTS 4.3.3 e versioni successive
  • QTS 4.2.6 e versioni successive
  • QuTS hero h5.0.x e versioni successive
  • QuTS hero h4.5.4 e versioni successive
  • QuTScloud c5.0.x

Il consiglio, come indicato dalla stessa azienda, rimane quello di disattivare il protocollo AFP in attesa delle build correttive da installare non appena rilasciate. "QNAP sta indagando a fondo sul caso. Rilasceremo aggiornamenti di sicurezza per tutte le versioni del sistema operativo QNAP interessate e forniremo ulteriori informazioni il prima possibile" ha dichiarato la società.

Per disabilitare AFP sul NAS QTS o QuTS hero è necessario andare su Pannello di controllo -> Servizi di rete e file -> Win/Mac/NFS/WebDAV -> Rete Apple e selezionare Disabilita AFP (Apple Filing Protocol).

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
bancodeipugni29 Aprile 2022, 13:48 #1
aggiornato
[SPOILER]
in verità dico che solitamente è sempre meglio disabilitare funzioni particolari che mai si usano anche e soprattutto a scopo preventivo, tipo gli accessi remoti a login, ecc senza un salvaculo di sicurezza...

e poi usare sempre un backup esterno offline, anche piccolo, per i dati importanti, e basta, non per le cagate... [/SPOILER]
Emin00129 Aprile 2022, 15:38 #2
Originariamente inviato da: bancodeipugni
[SPOILER]
in verità dico che solitamente è sempre meglio disabilitare funzioni particolari che mai si usano anche e soprattutto a scopo preventivo, tipo gli accessi remoti a login, ecc senza un salvaculo di sicurezza..[/SPOILER]


di questo passo facciamo prima a tenere il Nas spento....
non ho nessun prodotto qnap o synology ma a forza di spegnere servizi non gli rimane più un ciufolo e visti i costi di questi prodotti mi sentirei un tantinello incazzato.
bancodeipugni29 Aprile 2022, 20:36 #3
non esageriamo... è un servizio non essenziale... si tratta poi solo di aggiornare o attendere l'aggiornamento e poi si puo' tornare a usarlo
LkMsWb01 Maggio 2022, 11:09 #4
Più che altro è un protocollo veramente legacy, considerato obsoleto già da MacOS 10.9, rilasciato nell'ormai lontano 2013. A meno di specifiche necessità, è un protocollo che andrebbe sempre lasciato disattivato ormai.
EDIT: Che poi di default è disabilitato, almeno su Synology 7.0 e 7.1, non ho potuto controllare direttamente altri NAS ora come ora.
bancodeipugni01 Maggio 2022, 18:25 #5
su netgear D7000 tale pacchetto netatalk c'e', vecchio assai, a cosa serva poi....
forse per itunes... c'e' un supporto su "media server" mai usato...

ah... c'e' scritto: time machine

de che ?
LkMsWb02 Maggio 2022, 08:22 #6
Originariamente inviato da: Svelgen
Non essenziale se usi windows.
Già se usi Mac e Time machine è essenziale eccome visto che se lo disabiliti, non funziona più una sega di niente.
Tanto vale che lo tengo spento il NAS.


Mica vero, i NAS moderni permettono tranquillamente Time Machine su protocollo SMB, non serve AFS che appunto è deprecato anche da Apple.
Cito Synology dalla knowledge base:
"Per macOS Sierra (10.12) e versioni successive, Time Machine utilizza SMB come protocollo predefinito. Si consiglia di eseguire i backup di Time Machine tramite SMB."

Come detto sopra, oggigiorno è utile quasi esclusivamente se si utilizzano Mac legacy.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^