QNAP's presserum

Taiwan, Taipei, 21. Maj 2024 - Der er meget vigtigt for QNAP® Systems, Inc. (QNAP) at opretholde de højeste sikkerhedsstandarder for vores produkter. Vi er for nylig blevet informeret om flere sårbarheder i vores QTS-operativsystem, som beskrevet i en rapport fra WatchTowr Labs. Vi vil gerne forholde os til fundene og skitsere vores handlinger for at løse disse problemer.

Håndtering af de rapporterede QTS-sårbarheder

Vi sætter pris på sikkerhedsforskernes indsats for at identificere potentielle sårbarheder i vores produkter. Vi har tildelt CVE-id'er til de bekræftede sårbarheder i rapporten. Fire af disse sårbarheder (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) blev løst i QTS 5.1.6 / QuTS hero h5.1.6-opdateringen, der blev udgivet i april 2024. De øvrige bekræftede sårbarheder (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) er blevet løst i dagens QTS 5.1.7 / QuTS hero h5.1.7-opdatering (21. maj, Taipei-tid).

Specifikt:

• CVE-2024-27131: Forbedringen kræver en ændring af UI-specifikationerne i QuLog Center. Det er ikke en egentlig sårbarhed, men snarere et designvalg, og det påvirker kun interne netværksscenarier. Denne ændring vil blive håndteret i QTS 5.2.0 / QuTS hero h5.2.0.
• WT-2023-0050: Dette problem er stadig ved at blive gennemgået, og er ikke blevet bekræftet som en gyldig sårbarhed. Vi arbejder tæt sammen med forskerne for at afklare dets status.
• WT-2024-0004 og WT-2024-0005: Disse problemer er også ved at blive gennemgået, og vi er i aktiv dialog med forskerne for at forstå og løse dem.
• WT-2024-0006: Dette problem har fået tildelt et CVE-id, og vil blive løst i den kommende version.

CVE-2024-27130-sårbarheden

CVE-2024-27130-sårbarheden, som er blevet rapporteret under WatchTowr ID WT-2023-0054, skyldes den usikre brug af 'strcpy'-funktionen i No_Support_ACL-funktionen, som bruges af get_file_size-anmodningen i share.cgi-scriptet. Dette script bruges, når mediefiler deles med eksterne brugere. For at udnytte denne sårbarhed skal en angriber have en gyldig 'ssid'-parameter, som genereres, når en NAS-bruger deler en fil fra sin QNAP-enhed.

Vi vil gerne forsikre vores brugere om, at alle QTS / QuTS hero 4.x- og 5.x-versioner har Address Space Layout Randomization (ASLR) aktiveret. ASLR gør det betydeligt sværere for en angriber at udnytte denne sårbarhed. Derfor har vi vurderet dens alvorlighedsgrad som Middel. Ikke desto mindre anbefaler vi kraftigt, at brugerne opdaterer til QTS 5.1.7 / QuTS hero h5.1.7, så snart den bliver tilgængelig, for at sikre, at deres systemer er beskyttet.

Forpligtelse til sikkerhed

QNAP PSIRT har altid været proaktiv i samarbejdet med sikkerhedsforskere om at udrede og afhjælpe sårbarheder. Vi beklager eventuelle koordineringsproblemer, der måtte være opstået mellem produktudgivelsesplanen og afsløringen af disse sårbarheder. Vi tager skridt til at forbedre vores processer og koordinering i fremtiden for at forhindre, at sådanne problemer opstår igen.

Fremover forpligter vi os til at færdiggøre afhjælpning og frigive rettelser indenfor 45 dage for sårbarheder, der er klassificeret som Høj eller Kritisk alvorlighedsgrad. For sårbarheder med Middel alvorlighedsgrad vil vi afslutte afhjælpningen og frigive rettelser indenfor 90 dage.

Vi beklager den ulejlighed, det måtte have medført, og vi gør en stor indsats for løbende at forbedre vores sikkerhedsforanstaltninger. Det er vores mål at arbejde tæt sammen med forskere over hele verden for at sikre den højeste sikkerhedskvalitet for vores produkter.

For at sikre din enhed anbefaler vi, at du regelmæssigt opdaterer dit system til den nyeste version for at drage fordel af sårbarhedsrettelser. Du kan tjekke produktsupportstatussen for at se de seneste tilgængelige opdateringer til din NAS-model.

QNAP Product Security Incident Response Team (PSIRT)
Sikkerhedsmeddelelse

• QSA-24-20
• QSA-24-23