Scopri i nostri percorsi di Hacking e approfitta dell'imperdibile promozione! Scopri di più
Non finiscono, anzi aumentano i guai per gli utenti del sistema di backup della taiwanese QNAP.
Abbiamo appena finito di parlare del bug derivante dal problema al Kernel Linux (Dirty Pipe), problema ancora non risolto nel mondo QNAP, che abbiamo un ulteriore guaio a completare il fosco quadro già reso tale da un continuo martellamento da parte di gruppi di minaccia ransomware sui dispositivi QNAP esposti (improvvidamente) su Internet dai loro proprietari.
Ci si mette ora anche (o meglio sarebbe dire “di nuovo”) la libreria OpenSSL.
Un problema nella libreria è presente in tutti i dispositivi NAS (Network-Attached Storage) di QNAP, e consente di ottenere una negazione di servizio (DoS) per l’innesco di un ciclo infinito all’interno degli algoritmi sviluppati da questa libreria.
Anche in questo caso abbiamo un problema sorto nell’ambito dello sviluppo Open-Source (tale è la libreria OpenSSL), sanato celermente da questo modo, e ancora non applicato dal vendor (in questo caso QNAP) che ne ha scelto l’utilizzo.
La vulnerabilità, classificata CVE-2022-0778, ha una gravità elevata (7.5 CVSS) riguarda in particolare l’implementazione della funzione BN_mod_sqrt() che calcola una radice quadrata in aritmetica modulare: questa funzione ha un problema con i valori di modulo non primi, per cui si genera un ciclo infinito. Questa funzione viene utilizzata durante l’analisi dei certificati con chiave pubblica che utilizzino crittografia a curva ellittica (ECC) come la suite ECDHE-RSA.
Ancora una volta gli utenti QNAP devono rimanere con la semplice promessa da parte della società sul prossimo rilascio di aggiornamenti di sicurezza “prima possibile”, ma ancora nulla all’orizzonte: cosa motiva tutto questo ritardo? La minaccia intanto avanza, visto che per la stessa società non esiste alcuna forma di mitigazione.
Infatti la verifica del certificato è operazione preliminare alla verifica della firma, pertanto in qualsiasi caso avvenga un processo di analisi di un certificato fornito esternamente, questo può innescare il processo e portare a subire il diniego di servizio per i motivi di cui sopra. In particolare questo può avvenire anche nella verifica delle chiavi private che potrebbero essere appositamente create per contenere quei parametri espliciti per la curva ellittica che mettano in crisi la funzione e dunque la vittima di attacco.
Come ciliegina sulla torta, per questo problema è stato emesso un avviso di sicurezza dall’agenzia nazionale per la sicurezza informatica italiana (CSIRT): questo è probabilmente indice di incidenti già avvenuti riguardo questa vulnerabilità.
