QNAP e Synology, NAS a rischio: vulnerabilità critiche in Netatalk, meglio disattivare il protocollo AFP

QNAP e Synology consigliano ai possessori dei rispettivi NAS di disattivare il protocollo AFP a causa di vulnerabilità in Netatalk, implementazione gratuita e open source dell'Apple Filing Protocol.
di Vittorio Rienzo pubblicata il 29 Aprile 2022, alle 12:51 nel canale SicurezzaQnapSynology
QNAP e Synology stanno allertando gli utenti dei loro NAS sull'esistenza di attacchi che sfruttano molteplici vulnerabilità critiche di Netatalk. "Diverse vulnerabilità permettono a malintenzionati di ottenere da remoto informazioni sensibili ed eventualmente eseguire codice arbitrario tramite una versione suscettibile di Synology DiskStation Manager (DSM) e Synology Router Manager (SRM)", si legge in una nota di Synology dove si indicano le versioni del software affette da problema e l'eventuale esistenza di correttivi.
QNAP, invece, ha direttamente chiesto ai propri clienti di disabilitare il protocollo AFP (Apple Filing Protocol) a causa delle falle di sicurezza di Netatalk che metteno a rischio la sicurezza dell'intero NAS.
Netatalk è un'implementazione open-source di AFP che consente ai sistemi *NIX/*BSD di agire come un file server AppleShare per i client basati su macOS. In sostanza, sui NAS di QNAP, AFP consente ai sistemi Apple di accedere ai file presenti sul NAS. A detta di QNAP, AFP è ancora ampiamente adottato poiché "supporta diversi attributi macOS che non sono supportati da altri protocolli".
Secondo quanto riportato da Bleeping Computer, i membri dell'Exploit Development Group (EDG) di NCCGroup sfruttarono proprio una delle vulnerabilità di Netatalk in oggetto, identificata dal codice CVE-2022-23121, per eseguire codice senza alcuna autenticazione su un NAS Western Digital PR4100 con firmware My Cloud OS durante la competizione di hacking Pwn2Own 2021. Alla falla è stato conferito un rating di pericolosità di 9,8/10 (CVE-2022-23121).
Ci sono poi altre tre vulnerabilità che hanno ottenuto un punteggio di 9,8/10 e che rispondono ai codici CVE-2022-23125, CVE-2022-23122 e CVE-2022-0194.
Il 22 marzo, il team di sviluppo di Netatalk ha rilasciato la versione 3.1.13 che ha corretto i bug di sicurezza, tre mesi dopo la competizione in cui sono emersi. QNAP afferma che le vulnerabilità di Netatalk, risolte in QTS 4.5.4.2012 build 20220419 e successive, coinvolgono le seguenti versioni del sistema operativo:
- QTS 5.0.x e versioni successive
- QTS 4.5.4 e versioni successive
- QTS 4.3.6 e versioni successive
- QTS 4.3.4 e versioni successive
- QTS 4.3.3 e versioni successive
- QTS 4.2.6 e versioni successive
- QuTS hero h5.0.x e versioni successive
- QuTS hero h4.5.4 e versioni successive
- QuTScloud c5.0.x
Il consiglio, come indicato dalla stessa azienda, rimane quello di disattivare il protocollo AFP in attesa delle build correttive da installare non appena rilasciate. "QNAP sta indagando a fondo sul caso. Rilasceremo aggiornamenti di sicurezza per tutte le versioni del sistema operativo QNAP interessate e forniremo ulteriori informazioni il prima possibile" ha dichiarato la società.
Per disabilitare AFP sul NAS QTS o QuTS hero è necessario andare su Pannello di controllo -> Servizi di rete e file -> Win/Mac/NFS/WebDAV -> Rete Apple e selezionare Disabilita AFP (Apple Filing Protocol).
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info[SPOILER]
in verità dico che solitamente è sempre meglio disabilitare funzioni particolari che mai si usano anche e soprattutto a scopo preventivo, tipo gli accessi remoti a login, ecc senza un salvaculo di sicurezza...
e poi usare sempre un backup esterno offline, anche piccolo, per i dati importanti, e basta, non per le cagate...
in verità dico che solitamente è sempre meglio disabilitare funzioni particolari che mai si usano anche e soprattutto a scopo preventivo, tipo gli accessi remoti a login, ecc senza un salvaculo di sicurezza..[/SPOILER]
di questo passo facciamo prima a tenere il Nas spento....
non ho nessun prodotto qnap o synology ma a forza di spegnere servizi non gli rimane più un ciufolo e visti i costi di questi prodotti mi sentirei un tantinello incazzato.
EDIT: Che poi di default è disabilitato, almeno su Synology 7.0 e 7.1, non ho potuto controllare direttamente altri NAS ora come ora.
forse per itunes... c'e' un supporto su "media server" mai usato...
ah... c'e' scritto: time machine
de che ?
Già se usi Mac e Time machine è essenziale eccome visto che se lo disabiliti, non funziona più una sega di niente.
Tanto vale che lo tengo spento il NAS.
Mica vero, i NAS moderni permettono tranquillamente Time Machine su protocollo SMB, non serve AFS che appunto è deprecato anche da Apple.
Cito Synology dalla knowledge base:
"Per macOS Sierra (10.12) e versioni successive, Time Machine utilizza SMB come protocollo predefinito. Si consiglia di eseguire i backup di Time Machine tramite SMB."
Come detto sopra, oggigiorno è utile quasi esclusivamente se si utilizzano Mac legacy.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".