QNAP Newsroom

Taiwan, Taipeh, 21. Mai 2024 - QNAP® Systems, Inc. (QNAP) ist bestrebt, die höchsten Sicherheitsstandards für seine Produkte einzuhalten. Kürzlich wurden wir über mehrere Schwachstellen in unserem QTS Betriebssystem informiert, die in einem Bericht von WatchTowr Labs beschrieben werden. Wir möchten auf die Ergebnisse eingehen und unsere Maßnahmen zur Behebung dieser Probleme darlegen.

Behebung der gemeldeten QTS Schwachstellen

Wir schätzen die Bemühungen der Sicherheitsforscher, potentielle Schwachstellen in unseren Produkten zu identifizieren. Wir haben den aus dem Bericht bestätigten Schwachstellen CVE IDs zugewiesen. Vier dieser Schwachstellen (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) wurden mit dem im April 2024 veröffentlichten QTS 5.1.6 / QuTS hero h5.1.6 Update behoben. Die anderen bestätigten Schwachstellen (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) wurden im heutigen QTS 5.1.7 / QuTS hero h5.1.7 Update (21. Mai, Taipeh Zeit) behoben.

Im Detail:

• CVE-2024-27131: Die Verbesserung erfordert eine Änderung der UI-Spezifikationen innerhalb des QuLog Centers. Dabei handelt es sich nicht um eine tatsächliche Schwachstelle, sondern um eine Designentscheidung, die nur interne Netzwerkszenarien betrifft. Diese Änderung wird in QTS 5.2.0 / QuTS hero h5.2.0 berücksichtigt.
• WT-2023-0050: Dieses Problem wird noch untersucht und ist noch nicht bestätigt. Wir arbeiten eng mit den Forschern zusammen, um den Status zu klären.
• WT-2024-0004 und WT-2024-0005: Diese Probleme werden ebenfalls untersucht und wir sind in aktiven Gesprächen mit den Forschern, um sie zu verstehen und zu beheben.
• WT-2024-0006: Diese Schwachstellen wurde mit einer CVE ID versehen und wird in der nächsten Version behoben.

CVE-2024-27130 Schwachstelle

Die unter der WatchTowr ID WT-2023-0054 gemeldete Sicherheitslücke CVE-2024-27130 wird durch die unsichere Verwendung der Funktion 'strcpy' in der Funktion No_Support_ACL verursacht, die von der Anforderung get_file_size im Skript share.cgi verwendet wird. Dieses Skript wird verwendet, wenn Medien mit externen Benutzern geteilt werden. Zur Ausnutzung dieser Schwachstelle benötigt ein Angreifer einen gültigen 'ssid' Parameter, der generiert wird, wenn ein NAS Benutzer eine Datei von seinem QNAP Gerät freigibt.

Wir möchten unseren Benutzern versichern, dass bei allen QTS / QuTS hero 4.x und 5.x Versionen Address Space Layout Randomization (ASLR) aktiviert ist. Durch ASLR wird es für einen Angreifer deutlich schwieriger, diese Schwachstelle auszunutzen. Aus diesem Grund haben wir den Schweregrad als mittel eingestuft. Dennoch empfehlen wir allen Anwendern dringend, auf QTS 5.1.7 / QuTS hero h5.1.7 zu aktualisieren, sobald es verfügbar ist, um sicherzustellen, dass ihre Systeme geschützt sind.

Verpflichtung zur Sicherheit

Das QNAP PSIRT hat immer proaktiv mit Sicherheitsforschern zusammengearbeitet, um Schwachstellen zu identifizieren und zu beheben. Wir bedauern jegliche Koordinationsprobleme, die zwischen dem Zeitplan für die Produktfreigabe und dem Bekanntwerden dieser Sicherheitslücken aufgetreten sein könnten. Wir unternehmen Maßnahmen, um unsere Prozesse und die Koordination in Zukunft zu verbessern, damit solche Probleme nicht mehr auftreten.

Für Schwachstellen, die als hoch oder kritisch eingestuft werden, verpflichten wir uns, die Behebung innerhalb von 45 Tagen abzuschließen und die Patches zu veröffentlichen. Für Schwachstellen mit mittlerem Schweregrad werden wir die Behebung innerhalb von 90 Tagen abschließen und Patches veröffentlichen.

Wir möchten für etwaige Unannehmlichkeiten um Entschuldigung bitten und verpflichten uns, unsere Sicherheitsmaßnahmen kontinuierlich zu verbessern. Unser Ziel ist es, eng mit Forschern auf der ganzen Welt zusammenzuarbeiten, um die Sicherheit unserer Produkte auf höchstem Niveau zu gewährleisten.

Zum Schutz Ihres Geräts empfehlen wir Ihnen, Ihr System regelmäßig auf die neueste Version zu aktualisieren, um von den Sicherheitspatches zu profitieren. Sie können den Status der Produktunterstützung überprüfen, um die neuesten verfügbaren Updates für Ihr NAS Modell anzuzeigen.

QNAP Product Security Incident Response Team (PSIRT)
Sicherheitshinweis

• QSA-24-20
• QSA-24-23