Search

Sala de prensa de QNAP

Manténgase al día de las últimas noticias y premios de QNAP y póngase en contacto con nuestro equipo

Sala de prensa de QNAP
Comunicado de prensa

Respuesta oficial del equipo de QNAP PSIRT sobre los informes de seguridad recientes (WatchTowr Labs)

Respuesta oficial del equipo de QNAP PSIRT sobre los informes de seguridad recientes (WatchTowr Labs)

Taiwán, Taipei, 21 de Mayo de 2024 - QNAP® Systems, Inc. (QNAP) se compromete a mantener los máximos estándares de seguridad para nuestros productos. Hace poco se nos ha informado de múltiples vulnerabilidades en nuestro sistema operativo QTS, tal y como se detalla en un informe de WatchTowr Labs. Nos gustaría abordar los hallazgos y establecer un plan de acción para resolver estos problemas.

Resolución de las vulnerabilidades de QTS notificadas

Agradecemos el esfuerzo realizado por los investigadores de seguridad para identificar posibles vulnerabilidades en nuestros productos. Hemos asignado identificadores de CVE a las vulnerabilidades confirmadas del informe. Cuatro de estas vulnerabilidades (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) se solucionaron en las actualizaciones de QTS 5.1.6 y QuTS hero h5.1.6 lanzadas en abril de 2024. Las otras vulnerabilidades confirmadas (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) se han resuelto en las actualizaciones de QTS 5.1.7 y QuTS hero h5.1.7 disponibles hoy (21 de mayo, horario de Taipei).

Más concretamente:

  • CVE-2024-27131: La mejora requiere un cambio en las especificaciones de la IU en QuLog Center. No se trata de una vulnerabilidad real, sino de una opción de diseño y solo afecta a escenarios de la red interna. Esta modificación se aplicará en QTS 5.2.0 / QuTS hero h5.2.0.
  • WT-2023-0050: Este problema aún se está revisando y no se ha confirmado como una vulnerabilidad válida. Estamos colaborando con los investigadores para aclarar su estado.
  • WT-2024-0004 y WT-2024-0005: Estos problemas también se están revisando y estamos manteniendo conversaciones activas con los investigadores para entenderlos y resolverlos.
  • WT-2024-0006: A este problema se le ha asignado un identificador de CVE y se resolverá en la próxima versión.

Vulnerabilidad CVE-2024-27130

La vulnerabilidad CVE-2024-27130, notificada con el identificador WT-2023-0054 de WatchTowr, se debe a un uso no seguro de la función 'strcpy' en la función No_Support_ACL, utilizada por la solicitud get_file_size en el script share.cgi. Este script se utiliza al compartir contenido multimedia con usuarios externos. Para explotar esta vulnerabilidad, un atacante necesita un parámetro 'ssid' válido, que se genera cuando un usuario de NAS comparte un archivo de su dispositivo QNAP.

Queremos tranquilizar a nuestros usuarios haciéndoles saber que todas las versiones de QTS / QuTS hero 4.x y 5.x tienen habilitada la Aleatoriedad en la disposición del espacio de direcciones (ASLR). La función ASLR aumenta significativamente la dificultad de que un atacante explote esta vulnerabilidad. Por tanto, hemos clasificado su gravedad como Media. No obstante, recomendamos encarecidamente a los usuarios actualizar a QTS 5.1.7/QuTS hero h5.1.7 en cuanto estén disponibles para garantizar que sus sistemas estén protegidos.

Compromiso con la seguridad

El equipo de QNAP PSIRT siempre se ha mostrado proactivo a la hora de colaborar con los investigadores de seguridad en la clasificación y resolución de vulnerabilidades. Lamentamos cualquier problema de coordinación que se haya podido producir entre el calendario de lanzamiento del producto y la publicación de estas vulnerabilidades. Estamos tomando medidas para mejorar nuestros procesos y nuestra coordinación para evitar que estos problemas vuelvan a surgir en el futuro.

Además, para las vulnerabilidades de gravedad Alta o Crítica, nos comprometemos a completar su resolución y lanzar las soluciones necesarias en un plazo de 45 días. En el caso de las vulnerabilidades de gravedad Media, completaremos su resolución y lanzaremos las soluciones necesarias en un plazo de 90 días.

Pedimos disculpas por las posibles molestias causadas y nos comprometemos a seguir mejorando nuestras medidas de seguridad. Nuestro objetivo es colaborar estrechamente con investigadores de todo el mundo para garantizar la máxima calidad de la seguridad de nuestros productos.

Con el fin de proteger su dispositivo, le recomendamos actualizar regularmente su sistema a la última versión para beneficiarse de nuestras soluciones frente a vulnerabilidades. Puede consultar el estado de soporte del producto para ver las últimas actualizaciones disponibles para su modelo de NAS.

Equipo de respuesta a incidentes de seguridad del producto de QNAP (PSIRT)
Aviso de seguridad

Acerca de QNAP

QNAP, cuyas siglas en inglés equivalen a "Quality Network Appliance Provider" (Proveedor de equipos de red de calidad), se dedica a ofrecer completas soluciones de desarrollo de software, diseño de hardware y fabricación interna. Pese a estar centrados en innovaciones de almacenamiento, redes y vídeo inteligente, QNAP presenta ahora una revolucionaria solución de NAS en la nube que se une a nuestro ecosistema de software vanguardista basado en suscripción y canales de servicio diversificados. QNAP concibe el NAS como algo más que un simple almacenamiento y ha creado una infraestructura de red basada en la nube para animar a los usuarios a alojar y desarrollar análisis de técnicas de inteligencia artificial, edge computing e integración de datos en sus soluciones QNAP.

Consultas de medios de comunicación

marketing@qnap.com

Elija especificación

      Mostrar más Mostrar menos

      Este portal en otros países / regiones:

      open menu
      back to top