Sicurezza NAS QNAP, 7 vulnerabilità zero-day scoperte a Pwn2Own

La sicurezza dei sistemi NAS QNAP è tornata al centro dell’attenzione dopo la scoperta di sette vulnerabilità zero-day critiche durante la competizione Pwn2Own Ireland 2025. Questi dispositivi, largamente utilizzati per l’archiviazione e la gestione dei dati aziendali e domestici, hanno presentato falle di sicurezza che permettevano agli attaccanti di eseguire codice remoto, escalare i privilegi e sottrarre dati sensibili.

L’evento ha messo in evidenza ancora una volta quanto sia fondamentale mantenere aggiornati i sistemi di storage di rete e implementare adeguate misure di protezione per prevenire compromissioni che potrebbero avere conseguenze devastanti.

Le vulnerabilità scoperte: un quadro preoccupante

Durante la competizione Pwn2Own Ireland 2025, i ricercatori di sicurezza hanno identificato sette vulnerabilità zero-day nei sistemi NAS QNAP, tra cui la critica CVE-2025-62847. Queste falle interessavano diverse versioni dei sistemi operativi:

• QTS 5.2.x – il sistema operativo principale dei NAS QNAP
• QuTS hero h5.2.x e h5.3.x – versioni enterprise con supporto ZFS
• Software associati come Hyper Data Protector, Malware Remover e HBS 3 Hybrid Backup Sync

Le vulnerabilità sfruttavano principalmente errori di convalida degli input, buffer overflow e problematiche use-after-free nei gestori CGI. Questi difetti permettevano agli attaccanti non autenticati di ottenere il controllo completo dei dispositivi, rappresentando un rischio estremamente elevato per la sicurezza dei dati.

I team di ricerca e le tecniche di exploit

La scoperta di queste vulnerabilità è stata possibile grazie al lavoro coordinato di diversi team di ricerca specializzati:

Team partecipanti alla competizione

• Summoning Team – esperti in exploit di sistemi embedded
• DEVCORE – team taiwanese specializzato in sicurezza informatica
• Team DDOS – ricercatori focalizzati su attacchi distribuiti
• Ricercatore CyCraft – esperto individuale in threat intelligence

I ricercatori hanno dimostrato come fosse possibile combinare multiple tecniche di exploit per massimizzare l’impatto degli attacchi. La capacità di eseguire questi exploit senza autenticazione rendeva particolarmente pericolose le vulnerabilità, permettendo attacchi completamente remoti contro dispositivi esposti su internet.

La risposta di QNAP: patch tempestive e misure preventive

QNAP ha reagito prontamente alla scoperta delle vulnerabilità, rilasciando patch di sicurezza comprensive a partire dal 24 ottobre 2025. Gli aggiornamenti hanno interessato:

Interventi a livello firmware

Le correzioni hanno incluso rafforzamenti del kernel e miglioramenti sostanziali nelle procedure di sanificazione degli input. Questi interventi mirano a prevenire non solo gli exploit specifici dimostrati durante Pwn2Own, ma anche varianti future che potrebbero sfruttare vettori di attacco simili.

Aggiornamenti software correlati

Oltre ai sistemi operativi principali, QNAP ha aggiornato tutti i software associati vulnerabili, garantendo una protezione completa dell’ecosistema NAS. Questa approccio olistico è fondamentale per evitare che gli attaccanti possano sfruttare componenti secondari per compromettere l’intero sistema.

Raccomandazioni per la sicurezza dei NAS

Per proteggere efficacemente i sistemi NAS dalle minacce identificate e da quelle future, è essenziale seguire alcune best practice di sicurezza:

Aggiornamenti e manutenzione

• Installazione immediata degli aggiornamenti rilasciati da QNAP
• Configurazione di aggiornamenti automatici quando possibile
• Monitoraggio regolare delle notifiche di sicurezza del produttore

Gestione delle credenziali

• Modifica delle password predefinite su tutti gli account
• Implementazione di password complesse e uniche
• Attivazione dell’autenticazione a due fattori dove supportata

Configurazione di rete

• Limitazione dell’accesso esterno ai servizi essenziali
• Utilizzo di VPN per l’accesso remoto
• Configurazione di firewall perimetrali adeguati

L’importanza delle competizioni di sicurezza

L’evento Pwn2Own Ireland 2025 dimostra ancora una volta il valore inestimabile delle competizioni di sicurezza per l’identificazione proattiva di vulnerabilità critiche. Questi eventi permettono di:

Scoprire vulnerabilità prima che possano essere sfruttate da attori malintenzionati, fornendo ai produttori la possibilità di correggere i problemi in modo controllato. La collaborazione tra ricercatori etici e aziende tecnologiche attraverso questi programmi rappresenta un modello virtuoso per migliorare la sicurezza complessiva dell’ecosistema digitale.

Le competizioni come Pwn2Own incentivano anche lo sviluppo di competenze specialistiche nel campo della sicurezza informatica, creando una comunità di esperti capaci di identificare e mitigare minacce sempre più sofisticate.

Conclusioni e prospettive future

La scoperta e la correzione tempestiva di queste sette vulnerabilità zero-day nei sistemi NAS QNAP sottolinea l’importanza di un approccio proattivo alla sicurezza informatica. Gli utenti e le organizzazioni che utilizzano questi dispositivi devono prioritizzare l’implementazione immediata degli aggiornamenti di sicurezza e l’adozione di pratiche di sicurezza robuste.

L’episodio dimostra anche come la collaborazione tra ricercatori di sicurezza e produttori possa portare a miglioramenti significativi nella protezione dei sistemi critici. Mentre le minacce informatiche continuano a evolversi, iniziative come Pwn2Own rimangono strumenti essenziali per mantenere un passo avanti rispetto agli attaccanti e garantire la sicurezza dei dati e delle infrastrutture digitali.