Search

QNAP newsroom

Blijf op de hoogte van het laatste QNAP-nieuws en de nieuwste awards en neem contact op met ons team

QNAP newsroom
Persbericht

Officiële reactie van QNAP PSIRT over recente beveiligingsrapporten (WatchTowr Labs)

Officiële reactie van QNAP PSIRT over recente beveiligingsrapporten (WatchTowr Labs)

Taiwan, Taipei, 21 mei 2024 - QNAP® Systems, Inc. (QNAP) zet zich in voor het handhaven van de hoogste veiligheidsnormen voor onze producten. We zijn onlangs op de hoogte gebracht van meerdere kwetsbaarheden in ons besturingssysteem QTS, zoals beschreven in een rapport van WatchTowr Labs. We willen graag de bevindingen bespreken en aangeven wat we doen om deze problemen op te lossen.

Het oplossen van de gerapporteerde QTS-beveiligingslekken

We waarderen de inspanningen van beveiligingsonderzoekers om potentiële kwetsbaarheden in onze producten te identificeren. We hebben CVE-ID's toegewezen aan de bevestigde beveiligingslekken in het rapport. Vier van deze beveiligingslekken (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) werden opgelost in de update voor QTS 5.1.6 / QuTS hero h5.1.6 uitgegeven in april 2024. De andere bevestigde kwetsbaarheden (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) zijn opgelost in de update voor QTS 5.1.7 / QuTS hero h5.1.7 (21 mei, Taipei tijd).

In het bijzonder:

  • CVE-2024-27131: De verbetering vereist een wijziging in de UI-specificaties in het QuLog Center. Het is geen echte kwetsbaarheid, maar een ontwerpkeuze, en het heeft alleen gevolgen voor interne netwerkscenario's. Deze wijziging zal worden behandeld in QTS 5.2.0 / QuTS hero h5.2.0.
  • WT-2023-0050: Dit probleem wordt nog onderzocht en is niet bevestigd als een geldig beveiligingslek. We werken nauw samen met de onderzoekers om de status ervan te verduidelijken.
  • WT-2024-0004 and WT-2024-0005: Ook deze kwesties worden onderzocht en we voeren actieve besprekingen met de onderzoekers om ze te begrijpen en op te lossen.
  • WT-2024-0006: Dit probleem is toegewezen aan een CVE-ID en zal worden opgelost in de komende release.

Beveiligingslek met betrekking tot CVE-2024-27130

Het beveiligingslek met betrekking tot CVE-2024-27130, dat is gemeld onder WatchTowr ID WT-2023-0054, wordt veroorzaakt door het onveilige gebruik van de functie 'strcpy’ in de functie No_Support_ACL-, die wordt gebruikt door de aanvraag Get_file_size in het script share.cgi. Dit script wordt gebruikt bij het delen van media met externe gebruikers. Om dit beveiligingslek te misbruiken, heeft een aanvaller een geldige parameter 'ssid' nodig, die wordt gegenereerd wanneer een NAS-gebruiker een bestand deelt van zijn QNAP-apparaat.

We willen onze gebruikers geruststellen dat in alle versies QTS / QuTS hero 4.x en 5.x Address Space Layout Randomization (ASLR) is ingeschakeld. ASLR vergroot de moeilijkheid voor een aanvaller om dit beveiligingslek te misbruiken aanzienlijk. Daarom hebben we de ernst ervan beoordeeld als Medium. Desalniettemin raden we gebruikers ten zeerste aan om te updaten naar QTS 5.1.7 / QuTS hero h5.1.7 zodra het beschikbaar is om ervoor te zorgen dat hun systemen beschermd zijn.

Toewijding aan beveiliging

QNAP PSIRT is altijd proactief geweest in samenwerking met veiligheidsonderzoekers om kwetsbaarheden te sorteren en op te lossen. We betreuren eventuele coördinatieproblemen die zich hebben voorgedaan tussen het releaseschema van het product en de openbaarmaking van deze beveiligingslekken. We nemen stappen om onze processen en coördinatie in de toekomst te verbeteren om te voorkomen dat dergelijke kwesties zich opnieuw voordoen.

In de toekomst zullen we voor beveiligingslekken die zijn gerangschikt als hoog of kritiek, binnen 45 dagen de herstelwerkzaamheden voltooien en oplossingen uitbrengen. Voor beveiligingslekken met een gemiddelde ernst zullen we binnen 90 dagen de herstelwerkzaamheden uitvoeren en oplossingen uitbrengen.

Onze excuses voor het ongemak dat dit kan hebben veroorzaakt en we streven ernaar onze beveiligingsmaatregelen voortdurend te verbeteren. Ons doel is om nauw samen te werken met onderzoekers wereldwijd om de hoogste kwaliteit van veiligheid voor onze producten te garanderen.

Om uw apparaat te beveiligen, raden we u aan uw systeem regelmatig bij te werken naar de nieuwste versie om te profiteren van oplossingen voor beveiligingslekken. U kunt de product support status controleren om de nieuwste updates te zien die beschikbaar zijn voor uw NAS-model.

QNAP Product Security Incident Response Team (PSIRT)

Beveiligingsadvies

Over QNAP

QNAP (Quality Network Appliance Provider) wijdt zich aan het leveren van uitgebreide oplossingen van software-ontwikkeling, hardware-ontwerp tot interne fabricage. QNAP richt zich op opslag, netwerken en slimme video-innovaties en introduceert nu een revolutionaire Cloud NAS-oplossing die aansluit bij onze geavanceerde op abonnementen gebaseerde software en een gediversifieerd ecosysteem van servicekanalen. QNAP ziet een NAS als meer dan zo maar opslag en het heeft een op de cloud gebaseerde netwerk-infrastructuur gemaakt waarmee gebruikers kunstmatige intelligentie-analyses, edge computing en gegevensintegratie op hun QNAP-oplossingen kunnen hosten en ontwikkelen.

Media-informatie

marketing@qnap.com

Kies specificatie

      Toon meer Minder

      Deze website in andere landen/regio's:

      open menu
      back to top