QNAP Sajtószoba

Tajvan, Tajpej, 2024. május 21. – A QNAP® Systems, Inc. (QNAP) elkötelezett amellett, hogy a legmagasabb szintű biztonsági szabványokat tartsa fenn termékeinél. Nemrég értesültünk a QTS operációs rendszerünk számos sebezhetőségéről, amiket a WatchTowr Labs jelentése részletez. Szeretnénk foglalkozni a megállapításokkal és felvázolni a problémák megoldásáért tett lépéseket.

A jelentett QTS-sebezhetőségek kezelése

Nagyra értékeljük a biztonsági kutatók erőfeszítéseit termékeink lehetséges sebezhetőségeinek azonosítása terén. CVE-azonosítókat rendeltünk a jelentés már megerősített sebezhetőségeiez. Ezek közül négy sebezhetőség (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) kijavításra került a 2024 áprilisában megjelent QTS 5.1.6-os/QuTS hero h5.1.6-os frissítésében. A többi megerősített sebezhetőséget (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) a mai (tajpeji idő szerint május 21-én) kiadott QTS 5.1.7-es/QuTS hero h5.1.7-es frissítés javítja.

Specifikusan:

• CVE-2024-27131: A fejlesztéshez módosítani kell a QuLog Center felhasználói felületének specifikációit. Ez nem egy tényleges sebezhetőség, mint inkább egy tervezési döntés, és csak a belső hálózati felhasználási eseteket érinti. Ezt a módosítást a QTS 5.2.0 / QuTS hero h5.2.0 fogja tartalmazni.
• WT-2023-0050: A probléma még felülvizsgálat alatt áll, és nem lett valós sebezhetőségként megerősítve. Szorosan együttműködünk a kutatókkal, hogy tisztázzuk az állapotát.
• WT-2024-0004 és WT-2024-0005: Ezek a problémák szintén felülvizsgálat alatt állnak, és aktív egyeztetéseket folytatunk a kutatókkal, hogy megértésük és megoldjuk őket.
• WT-2024-0006: Ez a probléma CVE-azonosítót kapott, és a következő kiadásban lesz megoldva.

CVE-2024-27130 sebezhetőség

A CVE-2024-27130 sebezhetőséget, melyet a WT-2023-0054 WatchTowr azonosítóval jelentettek be, a No_Support_ACL függvény „strcpy” funkciójának nem biztonságos használata okozza, amelyet a get_file_size lekérdezés használ a share.cgi szkriptben. Ezt a szkriptet a médiafájlok külső felhasználókkal történő megosztásakor használjuk. A sebezhetőség kihasználásához a támadónak érvényes „ssid” paraméterre van szüksége, amely akkor jön létre, amikor egy NAS-felhasználó megoszt egy fájlt QNAP-eszközéről.

Szeretnénk megnyugtatni felhasználóinkat, hogy minden QTS / QuTS hero 4.x és 5.x verzióban engedélyezve van az Address Space Layout Randomization (ASLR) funkció. Az ASLR jelentősen megnehezíti a támadónak a sebezhetőség kihasználását, ezért a súlyosságát közepesre értékeltük. Ennek ellenére erősen javasoljuk a felhasználóknak, hogy frissítsenek a QTS 5.1.7 / QuTS hero h5.1.7 verzióra, amint az elérhetővé válik, így biztosítva rendszereik védelmét.

Elkötelezettség a biztonság iránt

A QNAP PSIRT mindig is proaktívan működött együtt a biztonsági kutatókkal, hogy osztályozza és orvosolja a sebezhetőségeket. Sajnáljuk azokat a koordinációs problémákat, amelyek a termékkiadási ütemezés és a biztonsági rések nyilvánosságra hozatala között fordultak elő. Lépéseket teszünk, hogy folyamatainkat és koordinációnkat javítsuk a jövőben, és megakadályozzuk az ilyen problémák újbóli előfordulását.

A továbbiakban a magas vagy kritikus súlyosságúnak minősített sebezhetőségek esetén vállaljuk, hogy 45 napon belül befejezzük a kárelhárítást és kiadjuk a javításokat. Közepes súlyosságú sebezhetőségek esetén 90 napon belül befejezzük a kárelhárítást és kiadjuk a javításokat.

Elnézést kérünk az okozott esetleges kellemetlenségekért, továbbá elkötelezettek vagyunk biztonsági intézkedéseink folyamatos javítása mellett. Célunk, világszerte szorosan együttműködni a kutatókkal, hogy biztosítsuk termékeink legmagasabb szintű biztonságát.

Eszközöd biztonsága érdekében javasoljuk, hogy rendszeresen frissítsd a rendszert a legújabb verzióra, hogy kihasználhasd a biztonsági rések javításait. Ellenőrizheted a terméktámogatási állapotot a NAS-modelledhez elérhető legújabb frissítésekért.

A QNAP termékbiztonsági incidensekre reagáló csapata (PSIRT)
Biztonsági tanácsadás

• QSA-24-20
• QSA-24-23