Search

Sala stampa QNAP

Restare aggiornati con le novità più recenti di QNAP, premi e mettersi in contatto con il nostro team

Sala stampa QNAP
Comunicato stampa

Risposta ufficiale di QNAP PSIRT in merito ai recenti rapporti sulla sicurezza (WatchTowr Labs)

Risposta ufficiale di QNAP PSIRT in merito ai recenti rapporti sulla sicurezza (WatchTowr Labs)

Taiwan, Taipei, 21 maggio 2024 - QNAP® Systems, Inc. (QNAP) si impegna a mantenere standard elevati di sicurezza per i nostri prodotti. Di recente siamo stati informati di diverse vulnerabilità nel nostro sistema operativo QTS, come indicato nel rapporto di WatchTowr Labs. Vorremmo affrontare i risultati e delineare le nostre azioni per risolvere questi problemi.

Affrontare le vulnerabilità segnalate per QTS

Apprezziamo gli sforzi dei ricercatori sulla sicurezza nell’identificare potenziali vulnerabilità nei nostri prodotti. Abbiamo assegnato i CVE ID alle vulnerabilità confermate nel report. Quattro di queste vulnerabilità (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) sono state corrette nella versione di QTS 5.1.6 / QuTS hero h5.1.6 rilasciata ad aprire 2024. Le altre vulnerabilità confermate (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) sono state corrette con l'aggiornamento odierno di QTS 5.1.7 / QuTS hero h5.1.7 (21 maggiore, orario di Taipei).

Nello specifico:

  • CVE-2024-27131: Il miglioramento richiede una modifica nelle specifiche dell’interfaccia utente in QuLog Center. Non è una vera e propria vulnerabilità, ma una scelta di progettazione che interessa solamente gli scenari di rete interna. Questa modifica sarà trattata in QTS 5.2.0 / QuTS hero h5.2.0.
  • WT-2023-0050: Questo problema è ancora in fase di revisione e non è stato confermato come una vulnerabilità valida. Stiamo lavorando a stretto contatto con i ricercatori per chiarire lo stato.
  • WT-2024-0004 e WT-2024-0005: Anche questi problemi sono ancora in fase di revisione, stiamo discutendo attivamente con i ricercatori per comprenderli e risolverli.
  • WT-2024-0006: A questo problema è stato assegnato un CVE ID e sarà risolto nelle versioni future.

Vulnerabilità CVE-2024-27130

La vulnerabilità CVE-2024-27130, che è stata segnalata in WatchTowr ID WT-2023-0054, è causata da un utilizzo non sicuro della funzione “strcpy” nella funzione No_Support_ACL, che è utilizzata dalla richiesta get_file_size nello script share.cgi. Questo script è utilizzato durante la condivisione dei media con utenti esterni. Per sfruttare questa vulnerabilità, un attacco richiede un parametro “ssid” valido, che viene generato quando un utente NAS condivide un file dal dispositivo QNAP.

Desideriamo rassicurare tutti i nostri utenti che le versioni QTS / QuTS hero 4.x e 5.x dispongono di ASLR (Address Space Layout Randomization). ASLR aumenta in modo significativo la difficoltà di un attacco di sfruttare questa vulnerabilità. Pertanto, abbiamo ne abbiamo stimato la gravità come Media. Tuttavia, consigliamo vivamente gli utenti di eseguire l'aggiornamento a QTS 5.1.7 / QuTS hero h5.1.7 non appena disponibile per garantire la protezione dei sistemi.

Impegno per la sicurezza

QNAP PSIRT ha sempre un atteggiamento proattivo nella collaborazione con i ricercatori per la sicurezza per classificare e porre rimedio alle vulnerabilità. Ci scusiamo per eventuali errori di coordinazione che possono presentarsi tra la pianificazione del rilascio del prodotto e la divulgazione di tali vulnerabilità. Stiamo adottando tutte le azioni per migliorare i nostri processi e coordinazione per evitare che tali problemi si possano ripresentare.

D'ora in poi, per le vulnerabilità classificate come di gravità Alta o Critica, ci impegniamo a completare la riparazione e a rilasciare le correzioni entro 45 giorni. Per le vulnerabilità di gravità Media, completeremo la riparazione e rilasceremo le correzioni entro 90 giorni.

Ci scusiamo per eventuali inconvenienti causati e ci impegniamo a migliorare continuamente le nostre misure di sicurezza. Il nostro obiettivo è di collaborare con i ricercatori di tutto il mondo per garantire una qualità elevata della sicurezza per i nostri prodotti.

Per proteggere il dispositivo, consigliamo di aggiornare regolarmente il sistema alla versione più recente per sfruttare i vantaggi offerti dalle correzioni alle vulnerabilità. È possibile verificare lo stato di supporto del prodotto per vedere gli ultimi aggiornamenti disponibili per il modello di NAS.

PSIRT (Product Security Incident Response Team) di QNAP
Security Advisory

Informazioni su QNAP

QNAP (Quality Network Appliance Provider) si impegna a fornire soluzioni complete per lo sviluppo software, la progettazione hardware e la produzione interna. Con l’attenzione incentrata sulle innovazioni legate ad archiviazione, rete e smart video, QNAP introduce ora una soluzione NAS cloud rivoluzionaria che unisce il nostro software avanzato basato su abbonamento con l’ecosistema di canali di servizio diversificati. QNAP considera il NAS qualcosa di più di un semplice spazio di archiviazione ed ha creato un'infrastruttura di rete basata su cloud per consentire agli utenti di eseguire l’hosting e sviluppare l’analisi dell’intelligenza artificiale, edge computing ed integrazione dei dati sulle loro soluzioni QNAP.

Richieste media

marketing@qnap.com

Scegliere le caratteristiche

      Mostra di più Meno

      Questo sito in altre nazioni/regioni

      open menu
      back to top