DeafNews
// 3 ZERO-DAY · 8 CVE · 6 EXPLOIT NELLE ULTIME 24H
Cybersecurity CRITICAL

ZDI-26-376: RCE in Quest NetVault Backup con bypass autenticazione

Published: Updated: By DeafSuite team 7 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Command injection in NVBULogDaemon permette esecuzione remota come SYSTEM. Patch disponibile ma CVE e CVSS non assegnati.

Il 24 giugno 2026 Trend Micro ha reso pubblica l'advisory ZDI-26-376, che documenta una vulnerabilità critica in Quest NetVault Backup: esecuzione remota di codice arbitrario tramite command injection nel componente NVBULogDaemon, con bypass dell'autenticazione e privilegi SYSTEM su Windows. La segnalazione al vendor risale al 24 settembre 2025, circa nove mesi prima. La tempistica riflette una disclosure coordinata standard.

Il problema di sicurezza colpisce direttamente l'infrastruttura di backup delle organizzazioni enterprise. NetVault Backup è una soluzione cross-platform per la protezione dati, utilizzata in ambienti che gestiscono volumi critici di informazioni. La sua funzione stessa lo rende un obiettivo strategico: chi controlla i backup controlla la capacità di ripristino.

Punti chiave
  • Il componente NVBULogDaemon di Quest NetVault Backup è vulnerabile a command injection in messaggi JSON-RPC
  • L'autenticazione, pur richiesta, può essere bypassata secondo l'advisory ZDI
  • L'esecuzione avviene nel contesto di SYSTEM, il massimo livello di privilegi su Windows
  • Quest ha rilasciato un aggiornamento correttivo; CVE e punteggio CVSS non sono stati assegnati o divulgati nell'advisory
  • 4 campi strutturati estratti dall'advisory ZDI: advisoryId, affectedVendor, specificFlaw, vendorPatchUrl
  • ~9 mesi di disclosure coordinata tra segnalazione vendor e release pubblica

Come funziona l'attacco: dalla JSON-RPC al SYSTEM

Il cuore della falla risiede nel parser JSON-RPC di NVBULogDaemon. Questo componente, che gestisce la comunicazione tra i vari nodi dell'architettura NetVault, non valida correttamente le stringhe fornite dall'utente prima di passarle a una system call. La mancanza di sanitizzazione permette l'iniezione arbitraria di comandi nel sistema operativo sottostante.

L'elemento che eleva questa vulnerabilità da seria a critica è il bypass dell'autenticazione. ZDI specifica esplicitamente che, sebbene l'autenticazione sia tecnicamente richiesta, "the existing authentication mechanism can be bypassed". Il dossier non fornisce dettagli tecnici su come avvenga questo bypass, ma la combinazione di accesso remoto e assenza di barriere identitarie efficaci abbassa drasticamente la soglia di attacco.

"An attacker can leverage this vulnerability to execute code in the context of SYSTEM" — ZDI Advisory ZDI-26-376

Perché i backup sono il bersaglio perfetto

NetVault Backup è una soluzione enterprise cross-platform per la protezione dati, utilizzata in ambienti che gestiscono volumi critici di informazioni aziendali. La sua funzione stessa lo rende un obiettivo strategico: chi controlla i backup controlla la capacità di ripristino, e quindi il potere negoziale in un eventuale incidente ransomware.

L'esecuzione come SYSTEM non è un dettaglio tecnico accessorio. Su Windows, questo contesto supera quello dell'amministratore locale e permette operazioni a livello kernel, accesso a tutti i file, modifica di qualsiasi configurazione, e persistenza attraverso meccanismi che un utente standard non può nemmeno rilevare. Per un attore di minaccia, compromettere NetVault Backup significa ottenere non solo accesso ai dati, ma la capacità di alterarne o cancellarne le copie di sicurezza.

Il valore di un backup compromesso supera quello di un singolo endpoint. I backup aggregano dati da multiple fonti, spesso senza la stessa segmentazione applicata ai sistemi di produzione. Un attaccante con SYSTEM su un server NetVault può esfiltrare dati storici, modificare policy di retention, o iniettare payload nelle immagini di ripristino.

Le cose che sappiamo — e quelle che il dossier non dice

L'advisory ZDI è strutturato ma incompleto su alcuni dati standard. Non risulta assegnato un identificativo CVE nel testo estratto. Non è riportato punteggio CVSS né vettore di severità. Le versioni specifiche di NetVault Backup interessate non sono elencate. Questi vuoti non invalidano la gravità della vulnerabilità, ma limitano la capacità di classificazione automatica e di prioritizzazione nei sistemi di vulnerability management enterprise.

La fonte vendor (support.quest.com) è citata nel dossier come riferimento per NetVault 14.0.2, ma il testo estratto non contiene riferimenti specifici a ZDI-26-376 né advisory di sicurezza dedicati. Questo impedisce di verificare indipendentemente il contenuto della patch o confermare che l'aggiornamento 14.0.2 corregga effettivamente questa falla. La fonte resta comunque il canale ufficiale per l'acquisizione degli aggiornamenti.

Il dossier non documenta attività di exploit in-the-wild, né tecniche di bypass dell'autenticazione pubblicamente note. L'assenza di queste informazioni non equivale all'assenza del rischio: la disclosure coordinata, per sua natura, precede spesso l'osservazione di sfruttamento attivo.

Cosa fare adesso

  • Verificare la presenza di installazioni Quest NetVault Backup nell'infrastruttura e mapparne le versioni
  • Consultare il portale support.quest.com per gli aggiornamenti relativi alla linea 14.0.2, unico riferimento vendor disponibile nel dossier
  • Valutare la segmentazione di rete per limitare la raggiungibilità delle interfacce JSON-RPC di NVBULogDaemon
  • Pianificare la verifica dei log di accesso a componenti di backup in un arco temporale che copra il periodo post-disclosure (dal 24 giugno 2026 in poi)
  • Integrare l'advisory ZDI-26-376 nei flussi di vulnerability management anche in assenza di metadati CVE/CVSS standard

La lettura: quando la resilienza diventa vulnerabilità

Il caso ZDI-26-376 ripropone una tensione strutturale della sicurezza enterprise: i sistemi costruiti per garantire continuità e ripristino diventano, per la loro stessa centralità, vettori di distruzione. NetVault Backup non è un accessorio IT, è l'ultima linea di difesa in uno scenario di compromissione. Che questa linea possa essere superata con una command injection in un parser JSON-RPC — un protocollo nato per semplicità, non per sicurezza — è il segnale che l'architettura dei sistemi di backup merita scrutiny pari a quello riservato alle superfici di attacco tradizionali.

L'assenza di CVE e CVSS, in questo caso, non attenua la criticità ma ne complica la governance. I team di sicurezza devono integrare fonti come ZDI nei loro flussi di intelligence indipendentemente dalla completezza dei metadati formali, pena la cecità su vulnerabilità che il formato standard non riesce ancora a catalogare.

La disclosure coordinata di ~9 mesi riflette una pratica responsabile, ma lascia una finestra di esposizione gestita dal vendor. Le organizzazioni che dipendono da NetVault Backup devono assumere che la vulnerabilità sia sfruttabile e agire di conseguenza, anche senza la conferma di exploit pubblici o punteggi di severità standard.

Altri contenuti collegati

  • CVE-2026-9779: RCE in ATEN Unizon via firma crittografica fallata
  • Fuji Electric Tellus: bug kernel consente escalation a SYSTEM
  • Unraid: command injection in ToggleState.php consente RCE

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Fonti e riferimenti
  1. zerodayinitiative.com
  2. support.quest.com