Novinky QNAP

Tchaj-wan, Tchaj-pej, 21. května 2024 – Společnost QNAP® Systems, Inc. (QNAP) se zavázala zachovávat pro své produkty ty nejvyšší bezpečnostní normy. Nedávno jsme byli informováni o několika slabinách v našem operačním systému QTS, jak je podrobně popsáno ve zprávě WatchTowr Labs. Rádi bychom se těmito zjištěními zabývali a nastínili naše kroky k vyřešení těchto problémů.

Řešení nahlášených slabin v QTS

Oceňujeme úsilí výzkumných pracovníků v oblasti zabezpečení při odhalování potenciálních slabin našich produktů. Potvrzeným slabinám ve zprávě jsme přiřadili CVE ID. Čtyři z těchto slabin (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) byly opraveny v aktualizaci QTS 5.1.6 / QuTS hero h5.1.6 vydané v dubnu 2024. Zbývající potvrzené slabiny (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) byly opraveny v dnešní aktualizaci QTS 5.1.7 / QuTS hero h5.1.7 (21. května Tchajpejského času).

Konkrétně:

• CVE-2024-27131: Toto vylepšení vyžaduje změnu specifikací uživatelského rozhraní v QuLog Center. Nejedná se o skutečnou slabinu, ale spíše o volbu návrhu, která se týká pouze scénářů interní sítě. Tato změna bude řešena v systému QTS 5.2.0 / QuTS hero h5.2.0.
• WT-2023-0050: Tento problém je stále předmětem zkoumání a nebyl potvrzen jako platná slabina. Na objasnění jeho statusu úzce spolupracujeme s výzkumnými pracovníky.
• WT-2024-0004 a WT-2024-0005: Tyto problémy jsou také předmětem přezkumu a aktivně diskutujeme s výzkumnými pracovníky, abychom je pochopili a vyřešili.
• WT-2024-0006: Tomuto problému bylo přiřazeno CVE ID a bude vyřešen v nadcházející verzi.

Slabina CVE-2024-27130

Slabina CVE-2024-27130, která byla nahlášena pod WatchTowr ID WT-2023-0054, je způsobena nebezpečným použitím funkce „strcpy“ ve funkci No_Support_ACL, kterou využívá požadavek get_file_size ve skriptu share.cgi. Tento skript se používá při sdílení médií s externími uživateli. Ke zneužití této slabiny potřebuje útočník platný parametr „ssid“, který je generován, když uživatel NAS sdílí soubor ze svého zařízení QNAP.

Rádi bychom naše uživatele ujistili, že všechny verze QTS / QuTS hero 4.x a 5.x mají povolenou funkci ASLR (Address Space Layout Randomization). ASLR výrazně zvyšuje obtížnost zneužití této slabiny útočníkem. Proto jsme jeho závažnost ohodnotili jako střední. Přesto důrazně doporučujeme uživatelům aktualizovat na QTS 5.1.7 / QuTS hero h5.1.7, aby zajistili ochranu svých systémů.

Zabezpečení bereme vážně

Tým QNAP PSIRT vždy proaktivně spolupracoval s výzkumnými pracovníky v oblasti zabezpečení na třídění a odstraňování slabin. Omlouváme se za případné problémy s koordinací, které mohly nastat v době mezi vydáním aktualizace a odhalením těchto slabin. Podnikáme kroky ke zlepšení našich procesů a koordinace v budoucnu, abychom takovým problémům předešli.

V případě slabin s vysokou nebo kritickou závažností se zavazujeme dokončit nápravu a vydat opravy do 45 dnů. U slabin se střední závažností dokončíme nápravu a vydáme opravy do 90 dnů.

Omlouváme se za případné nepříjemnosti a zavazujeme se neustále zlepšovat naše bezpečnostní opatření. Naším cílem je úzce spolupracovat s výzkumnými pracovníky po celém světě, abychom zajistili nejvyšší kvalitu zabezpečení našich produktů.

Pro zabezpečení zařízení doporučujeme pravidelně aktualizovat systém na nejnovější verzi, abyste mohli využívat opravy zranitelností. Můžete zkontrolovat stav podpory produktu a zjistit nejnovější aktualizace dostupné pro váš model NAS.

Tým pro řešení bezpečnostních incidentů produktů QNAP (Product Security Incident Response Team, PSIRT)
Poradce zabezpečení

• QSA-24-20
• QSA-24-23