Netcrook Logo
👤 KERNELWATCHER
🗓️ 05 Jan 2026   🌍 Asia

Licenza di perdere: falle nei NAS QNAP lasciano esposti dati sensibili

Due vulnerabilità trascurate nel License Center di QNAP mettono a rischio dati critici e la stabilità del sistema per migliaia di utenti NAS in tutto il mondo.

Nei caveau digitali in continua espansione di aziende e home office, i dispositivi Network Attached Storage (NAS) di QNAP sono apprezzati per comodità e affidabilità. Ma con l’alba del 2026, ha iniziato a suonare un allarme silenzioso: due vulnerabilità appena divulgate nel QNAP License Center potrebbero mettere i dati sensibili nel mirino dei criminali informatici. Per chi si affida a questi dispositivi per proteggere la propria linfa vitale digitale, la notizia è un gelido campanello d’allarme.

Dentro la falla: cosa è andato storto?

Il License Center di QNAP, un componente fondamentale per gestire le licenze software sui suoi dispositivi NAS, è risultato contenere due gravi sviste di programmazione. La prima, tracciata come CVE-2025-52871, è una vulnerabilità di lettura fuori dai limiti (out-of-bounds read). In parole semplici, consente agli utenti autenticati - anche a chi dispone solo di un accesso di base al sistema - di visualizzare porzioni di memoria che non dovrebbero poter vedere. Cosa c’è in gioco? La potenziale esposizione di file riservati, password o chiavi crittografiche rimaste in memoria nel sistema.

La seconda falla, CVE-2025-53597, è un classico buffer overflow. Questa alza la posta: richiede privilegi di livello amministratore, ma può essere trasformata in un’arma per modificare i contenuti della memoria di sistema o mandare in crash processi vitali. Nelle mani sbagliate, potrebbe innescare attacchi di denial-of-service o destabilizzare l’intero NAS, mettendo a rischio sia la continuità operativa sia l’integrità dei dati.

Sebbene QNAP abbia valutato questi bug come “Moderati”, le conseguenze potenziali non sono affatto da sottovalutare - soprattutto per le aziende che non possono permettersi tempi di inattività o fughe di dati. Le vulnerabilità erano presenti in tutte le versioni 2.0.x di License Center fino alla correzione d’emergenza nella versione 2.0.36.

Chi è a rischio - e cosa dovresti fare?

Chiunque utilizzi un NAS QNAP interessato con License Center 2.0.x è potenzialmente vulnerabile. Gli exploit richiedono accesso autenticato, ma è una magra consolazione se un attaccante ha già aggirato altre difese - o se entra in gioco un insider malintenzionato. La patch rapida di QNAP, rilasciata il 3 gennaio 2026, neutralizza la minaccia, ma solo per chi agisce in fretta. L’azienda invita gli utenti ad aggiornare senza indugio tramite l’App Center di QTS o QuTS Hero.

Il merito va al ricercatore di sicurezza Coral, la cui divulgazione responsabile ha dato a QNAP un vantaggio nel neutralizzare queste falle prima che gli attaccanti potessero colpire. Eppure, l’incidente è un promemoria severo: anche vulnerabilità “moderate” possono avere conseguenze importanti se lasciate irrisolte.

Guardando avanti: lezioni di vigilanza

Ora che la polvere si posa, una verità è chiara: nell’era digitale, la compiacenza è il nemico. Per gli utenti QNAP, questo episodio sottolinea l’importanza di applicare rapidamente le patch e mantenere una vigilanza costante. Per il resto di noi, è un altro capitolo nella cronaca in continua evoluzione del rischio informatico - dove anche i caveau più fidati possono avere una perdita.

WIKICROOK

  • Network Attached Storage (NAS): Il Network Attached Storage (NAS) è un dispositivo che fornisce archiviazione dati centralizzata e accessibile e condivisione di file per più utenti su una rete.
  • Out: La verifica fuori banda (Out-of-Band Verification) conferma l’identità usando un canale separato, come una chiamata o un SMS, per aumentare la sicurezza e prevenire accessi non autorizzati.
  • Buffer Overflow: Un buffer overflow è un difetto software in cui viene scritto troppi dati in memoria, consentendo potenzialmente agli hacker di sfruttare il sistema eseguendo codice malevolo.
  • Denial: In cybersecurity, “denial” significa rendere sistemi o servizi non disponibili agli utenti, spesso tramite attacchi come il Denial-of-Service (DoS) che li inondano di traffico.
  • Authenticated User: Un utente autenticato è qualcuno che ha effettuato l’accesso a un sistema e ha un accesso verificato, ma potrebbe non avere permessi o controllo completi.
QNAP vulnerabilities data security
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news