Aktualności QNAP

Tajwan, Tajpej, maja 21, 2024 - QNAP® Systems, Inc. (QNAP) zobowiązuje się do utrzymywania najwyższych standardów bezpieczeństwa swoich produktów. Niedawno zostaliśmy poinformowani o wielu lukach w zabezpieczeniach naszego systemu operacyjnego, co szczegółowo opisano w raporcie WatchTowr Labs. Chcielibyśmy odnieść się do ustaleń i przedstawić zarys naszych działań mających na celu rozwiązanie tych problemów.

Obsługa zgłoszonych luk w systemie operacyjnym QNAP

Doceniamy wysiłki badaczy bezpieczeństwa w identyfikowaniu potencjalnych luk w naszych produktach. Do potwierdzonych luk w raporcie przypisaliśmy identyfikatory CVE. Cztery z tych luk (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) zostały naprawione w aktualizacji QTS 5.1.6 / QuTS hero h5.1.6 wydanej w kwietniu 2024 r. inne potwierdzone luki (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) zostały naprawione w aktualizacji QTS 5.1.7 / QuTS hero h5.1.7.

Szczegóły:

• CVE-2024-27131: Udoskonalenie wymaga zmiany specyfikacji interfejsu użytkownika w QuLog Center. Nie jest to faktyczna luka, ale raczej wybór projektu i dotyczy ona wyłącznie scenariuszy sieci wewnętrznej. Ta modyfikacja zostanie uwzględniona w QTS / QuTS hero 5.2.0.
• WT-2023-0050: Ten problem jest nadal sprawdzany i nie potwierdzono, że jest to istotna luka. Ściśle współpracujemy z badaczami, aby wyjaśnić jego status.
• WT-2024-0004 i WT-2024-0005: Te problemy również są w trakcie przeglądu i prowadzimy aktywne dyskusje z badaczami, aby je zrozumieć i rozwiązać.
• WT-2024-0006: Ten problem ma przypisany identyfikator CVE i zostanie rozwiązany w nadchodzącej wersji.

CVE-2024-27130

Luka CVE-2024-27130, która została zgłoszona pod identyfikatorem WatchTowr WT-2023-0054, jest spowodowana niebezpiecznym użyciem funkcji „strcpy” w funkcji No_Support_ACL, która jest wykorzystywana przez żądanie get_file_size w skrypcie share.cgi. Ten skrypt jest używany podczas udostępniania multimediów użytkownikom zewnętrznym. Aby wykorzystać tę lukę, osoba atakująca potrzebuje prawidłowego parametru „ssid”, który jest generowany, gdy użytkownik NAS udostępnia plik ze swojego urządzenia QNAP.

Chcemy zapewnić naszych użytkowników, że wszystkie wersje QTS / QuTS hero 4.xi 5.x mają włączoną funkcję losowania układu przestrzeni adresowej (ASLR). ASLR znacznie zwiększa trudność atakującego w wykorzystaniu tej luki. Dlatego oceniliśmy jego zagrożenie jako średnie. Niemniej jednak zdecydowanie zalecamy użytkownikom aktualizację systemów do najnowszych wersji QTS 5.1.7 / QuTS hero h5.1.7.

Zaangażowanie w bezpieczeństwo

Dział PSIRT w firmie QNAP zawsze aktywnie współpracuje z badaczami bezpieczeństwa w celu selekcji i naprawy luk w zabezpieczeniach. Przepraszamy za wszelkie problemy z koordynacją, które mogły wystąpić pomiędzy harmonogramem wypuszczenia produktu a ujawnieniem tych luk. Podejmujemy kroki w celu poprawy naszych procesów i koordynacji w przyszłości, aby zapobiec ponownemu pojawieniu się takich problemów.

Idąc dalej, w przypadku luk sklasyfikowanych jako poważne lub krytyczne, zobowiązujemy się do zakończenia działań naprawczych i udostępnienia poprawek w ciągu 45 dni. W przypadku luk o średniej wadze zakończymy ich naprawę i opublikujemy poprawki w ciągu 90 dni.

Przepraszamy za wszelkie niedogodności, jakie mogło to spowodować i zobowiązujemy się do ciągłego ulepszania naszego podejścia do bezpieczeństwa. Naszym celem jest ścisła współpraca z badaczami na całym świecie, aby zapewnić najwyższą jakość bezpieczeństwa naszych produktów.

Aby zabezpieczyć swoje urządzenie, zalecamy regularne aktualizowanie systemu do najnowszej wersji, aby móc korzystać z poprawek luk w zabezpieczeniach. Możesz sprawdzić stan pomocy technicznej produktu, aby zobaczyć najnowsze aktualizacje dostępne dla Twojego modelu NAS.

Zespół reagowania na incydenty związane z bezpieczeństwem produktów QNAP (PSIRT)
Doradztwo dotyczące bezpieczeństwa

• QSA-24-20
• QSA-24-23