Search

QNAP 뉴스룸

최신 QNAP 뉴스, 수상 소식 및 당사 팀으로부터 최신 소식을 받으세요

QNAP 뉴스룸
보도 자료

최근 보안 보고서에 대한 QNAP PSIRT의 공식 발표(WatchTowr Labs)

최근 보안 보고서에 대한 QNAP PSIRT의 공식 발표(WatchTowr Labs)

대만, 타이베이, 2024년 5월 21일 - QNAP® Systems, Inc. 당사 제품에 대한 최고의 보안 표준을 유지하기 위해 최선을 다하고 있습니다. 최근 WatchTowr Labs연구소의 보고서에 자세히 설명된 QTS 운영 체제의 발생할 수도 있는 몇 가지 식별된 항목에 대한 사전 정보를 전달 받았습니다. 이러한 사전 식별된 정보 공유를 통해 QNAP이 어떤 협업과 대응 및 사전 예방을 위한 조치에 대해 간략히 설명하고자 합니다.

잠재적 취약점 사전 해결

먼저 잠재적 취약점을 식별해 주신 WatchTowr Labs연구원들의 노고에 감사드립니다. 보고된 15개의 식별 항목중 취약점이 될 수도 있는 사안에 대해 CVE의 규약에 따른 등급 지정 및 CVE ID를 선제 부여 및 CVE 관련 전세계 기업/보안 관계자들과 공유했습니다. 이러한 사전 진단된 CVE 네 건(CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364)는 2024년 4월에 릴리즈된 QTS 5.1.6 / QuTS hero h5.1.6 업데이트에서사전 예방 및 적용 완료되었습니다. 또한, 오늘(타이베이 시간 5월 21일) 이미 배포된 QTS 5.1.7 / QuTS hero h5.1.7에서 확인된 모든 항목에 대한 (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130)이 사전 예방이 되었음을 발표하게 되어 기쁩니다.

세부설명:

  • CVE-2024-27131: 이 사안은 취약점이 아닌 UI와 관련된 사안입니다. QNAP은 해당되는 QuLog Center 애플리케이션의 일부 내부 네트워크 시나리오 UI를 변경 예정입니다. 이 수정 사항은 QTS 5.2.0/ QuTS hero h5.2.0에 적용될 예정입니다.
  • WT-2023-0050: 현재 이 사항은 잠재적 취약점으로 확인되지 않았습니다. QNAP연구진은 지속적인 검토를 진행중입니다.
  • WT-2024-0004 및 WT-2024-0005: 이 사항도 검토 중이며, 잠재적 가능성 여부를 적극적으로 검토하고 있습니다.
  • WT-2024-0006: 이 사항은 잠재적 취약점으로 판정하여, 이미 CVE ID가 할당되었으며 다음 릴리스에서 사전 예방될 예정입니다.

CVE-2024-27130에 대한 세부 설명:

WatchTowr ID WT-2023-0054로 보고된 CVE-2024-27130 취약점은 share.cgi 스크립트의 get_file_size 요청에 사용되는 No_Support_ACL 함수의 'strcpy' 함수값이 외부의 비인가 사용자에게 고의로 공유되는 경우 발생할 수도 있는 잠재적 사안입니다. 이 스크립트는 NAS 사용자가 미디어파일을 공유시, 이 함수값을 복사하여 전달하면 발생하게 됩니다. 이 잠재적 취약점을 악용하기 위해 공격자는 반드시 유효한 'ssid' 매개변수를 전달받아야 하고, 이 매개변수는 NAS 사용자가 파일을 공유할 때 생성됩니다.

이 사안에 대한 보호장치, ASLR은 이미 모든 QTS / QuTS hero 4.x 및 5.x 버전에 적용 및 활성화 되어 있었습니다. 주소 공간 레이아웃 무작위화(ASLR) 기능이란, 외부망에 있는 공격자가 NAS에 침입하더라도, 동 취약점을 악용하려 시도 할때 난이도를 증가합니다. 큐냅은 CVE-2024-27130 사안의 심각도를 중간으로 판정하어 CVE에 공개 등록하였습니다. 잠재적인 사항이고, 중간 등급임에도 불구하고, QNAP은 사전 예방차원에서 QTS 5.1.7 / QuTS hero h5.1.7을 배포하였습니다. 사용자가 이 업데이트 적용시, 혹시라도 발생할 수 있는 사안에 대한 추가 보호를 적용 할 수 있습니다.

안전한 나스사용을 위한 QNAP의 약속

QNAP PSIRT 보안팀은 항상 전세계 보안 기업들 및 ATP & 화이트해커 워킹그룹등과 협력하여 취약점을 사전 발견 및 분류와 CVE에 등록하는 네트워크에 적극적으로 참여해오고 있습니다.

그럼에도 불구하고 더 빠른 선제조치 및 사전예방을 위해 다음과 같이 내부/외부 프로세스를 다음과 같이 단축시켰습니다.

앞으로는 CVE관련 잠재적 사안과 등록된 사항에 대해, 만약 심각도가 높음 또는 심각으로 분류된 경우 45일 이내에 해결을 완료하고 수정 사항 패치 배포를 다시 한번 약속합니다. 중간 심각도의 경우 90일 이내에 수정을 완료하고 수정 사항 패치 배포하겠습니다

QNAP은 더욱 적극적인 예방활동을 통해, 안전한 나스 사용이 되도록 정진하여, 창과 방패의 싸움인 정보보안 관련 최상의 활동을 지속할 것임을 다시 한번 약속드립니다.

디바이스를 안전하게 보호하려면 정기적으로 시스템을 최신 버전으로 업데이트하여 취약점 수정의 혜택을 받으시기 바랍니다. 제품 지원 상태를 확인하여 NAS 모델에 사용 가능한 최신 업데이트를 확인할 수 있습니다.

QNAP 제품 보안 사고 대응 팀(PSIRT)
보안 자문

QNAP 정보

QNAP (Quality Network Appliance Provider) 은 소프트웨어 개발, 하드웨어 설계, 자체 SMD 생산 및 제조하는 컴퓨팅, 네트워킹 및 스토리지 솔루션의 선도적인 혁신기업입니다. 또한 QNAP(큐냅)은 혁신적인 클라우드 기반 NAS 솔루션을 통해 다양한 서비스 채널 추가 가능한 에코시스템을 제공하고 있습니다. QNAP은 NAS가 단순한 스토리지의 기능을 뛰어넘어 AI GPU 가속 컴퓨팅, 엣지 컴퓨팅 및 데이터 통합 등 IT 전반의 솔루션을 호스팅하고 개발/사용할 수 있는 클라우드 기반 네트워킹 인프라를 구축 및 사용자에게 제공하고 있습니다.

미디어 문의

marketing@qnap.com

사양 선택

      더 보기 적게 보기

      다른 국가/지역 사이트:

      open menu
      back to top