Durante il recente evento Pwn2Own Ireland 2024, i ricercatori di sicurezza hanno messo in luce vulnerabilità significative nei dispositivi di archiviazione collegati alla rete (NAS), tra cui i prodotti TrueNAS. Questo evento, noto per la sua competizione tra esperti di cybersecurity, ha visto diverse squadre guadagnare oltre un milione di dollari identificando e sfruttando falle di sicurezza in vari dispositivi, tra cui telecamere e altri prodotti connessi.

I dispositivi TrueNAS Mini X sono stati particolarmente vulnerabili, con attacchi riusciti che hanno dimostrato come gli aggressori possano sfruttare le vulnerabilità interconnesse tra diversi dispositivi di rete. Ad esempio, il team Viettel Cyber Security ha guadagnato 50.000 dollari e 10 punti Master of Pwn combinando vulnerabilità di SQL injection e bypass dell’autenticazione da un router QNAP a un dispositivo TrueNAS.

Anche il team Computest Sector 7 ha eseguito un attacco efficace, sfruttando quattro vulnerabilità sia su un router QNAP che su un TrueNAS Mini X. Le tipologie di vulnerabilità scoperte includono l’iniezione di comandi, l’iniezione SQL, il bypass dell’autenticazione, una cattiva validazione dei certificati e chiavi crittografiche hardcoded. In risposta a questi risultati allarmanti, TrueNAS ha emesso un avviso per i propri utenti, riconoscendo le vulnerabilità e sottolineando l’importanza di seguire le raccomandazioni di sicurezza per proteggere i sistemi di archiviazione dei dati. TrueNAS ha chiarito che le vulnerabilità riguardano installazioni predefinite e non indurite, il che significa che gli utenti che seguono le pratiche di sicurezza consigliate sono già a rischio ridotto.

L’azienda ha esortato tutti gli utenti a rivedere le proprie linee guida sulla sicurezza e ad implementare le migliori pratiche per minimizzare l’esposizione a potenziali minacce fino a quando le patch non saranno completamente distribuite. In conclusione, l’evento Pwn2Own ha messo in evidenza non solo le debolezze nei dispositivi TrueNAS ma anche la necessità urgente per gli utenti di adottare misure proattive per proteggere i propri sistemi. Con l’aumento delle minacce informatiche, la vigilanza e l’aggiornamento costante delle configurazioni di sicurezza diventano essenziali per garantire la protezione dei dati sensibili.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *