Sala de imprensa QNAP
Mantenha-se a par das últimas notícias e prémios da QNAP e ligue-se à nossa equipa
Resposta oficial da QNAP PSIRT sobre relatórios de segurança recentes (WatchTowr Labs)
Taiwan, Taipei, 21 de maio, 2024 - A QNAP® Systems, Inc. (QNAP) tem o compromisso de manter os mais altos padrões de segurança de seus produtos. Recentemente, fomos informados de várias vulnerabilidades em nosso sistema operacional QTS, conforme detalhado em um relatório da WatchTowr Labs. Gostaríamos de abordar as descobertas e delinear nossas ações para resolver esses problemas.
Lidando com as vulnerabilidades relatadas do QTS
Agradecemos os esforços dos pesquisadores de segurança na identificação de possíveis vulnerabilidades em nossos produtos. Atribuímos IDs CVE às vulnerabilidades confirmadas no relatório. Quatro dessas vulnerabilidades (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) foram corrigidas na atualização QTS 5.1.6 / QuTS hero h5.1.6 lançadas em abril de 2024. As outras vulnerabilidades confirmadas (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) foram corrigidas na atualização de hoje do QTS 5.1.7 / QuTS hero h5.1.7 (21 de maio, horário de Taipei).
Especificamente:
- CVE-2024-27131: A melhoria requer uma alteração nas especificações da interface do usuário no QuLog Center. Não se trata de uma vulnerabilidade real, mas de uma escolha de projeto, e afeta apenas cenários de rede interna. Essa modificação será tratada no QTS 5.2.0 / QuTS hero h5.2.0.
- WT-2023-0050: Esse problema ainda está sendo analisado e não foi confirmado como uma vulnerabilidade válida. Estamos trabalhando em conjunto com os pesquisadores para esclarecer seu status.
- WT-2024-0004 e WT-2024-0005: Esses problemas também estão sendo analisados, e estamos em discussões ativas com os pesquisadores para entendê-los e resolvê-los.
- WT-2024-0006: Esse problema recebeu a ID CVE e será resolvido na próxima versão.
Vulnerabilidade CVE-2024-27130
A vulnerabilidade CVE-2024-27130, que foi relatada sob o ID WatchTowr WT-2023-0054, é causada pelo uso inseguro da função 'strcpy' na função No_Support_ACL, que é utilizada pela solicitação get_file_size no script share.cgi. Esse script é usado ao compartilhar mídia com usuários externos. Para explorar essa vulnerabilidade, um invasor precisa de um parâmetro 'ssid' válido, que é gerado quando um usuário do NAS compartilha um arquivo de seu dispositivo QNAP.
Queremos assegurar aos nossos usuários que todas as versões do QTS / QuTS hero 4.x e 5.x têm a ASLR (Randomização de Layout do Espaço de Endereço) ativada. A ASLR aumenta significativamente a dificuldade de um invasor explorar essa vulnerabilidade. Portanto, avaliamos sua gravidade como Média. No entanto, recomendamos enfaticamente que os usuários atualizem para o QTS 5.1.7 / QuTS hero h5.1.7 assim que disponível para garantir que seus sistemas estejam protegidos.
Compromisso com a segurança
A QNAP PSIRT sempre foi proativa na colaboração com pesquisadores de segurança na triagem e correção de vulnerabilidades. Lamentamos quaisquer problemas de coordenação que possam ter ocorrido entre o cronograma de lançamento de produto e a divulgação dessas vulnerabilidades. Estamos tomando medidas para melhorar nossos processos e coordenação no futuro para evitar que esses problemas ocorram novamente.
No futuro, para as vulnerabilidades classificadas como de gravidade Alta ou Crítica, assumimos o compromisso de concluir os ajustes e lançar as correções em até 45 dias. Para vulnerabilidades de gravidade Média, concluiremos os ajustes e lançaremos as correções em até 90 dias.
Pedimos desculpas por qualquer inconveniente que isso possa ter causado e temos o compromisso de aprimorar continuamente nossas medidas de segurança. Nosso objetivo é trabalhar em estreita colaboração com pesquisadores de todo o mundo para garantir a mais alta qualidade de segurança de nossos produtos.
Para proteger seu dispositivo, recomendamos atualizar regularmente o sistema para a versão mais recente, a fim de aproveitar as correções de vulnerabilidades. Você pode verificar o status do suporte ao produto para ver as atualizações mais recentes disponíveis para o seu modelo de NAS.
Equipe de Resposta a Incidentes de Segurança de Produtos da QNAP (PSIRT)
Comunicado de Segurança
Sobre a QNAP
A QNAP (Quality Network Appliance Provider) dedica-se a fornecer soluções abrangentes no desenvolvimento de software, design de hardware e fabrico interno. Centrando-se no armazenamento, funcionamento em rede e inovações de vídeo inteligente, a QNAP apresenta agora uma solução de NAS de nuvem revolucionária, que se junta ao nosso software de vanguarda baseado em assinatura e ao ecossistema de canais de serviços diversificado. A QNAP vê o NAS como mais do que simples armazenamento e criou uma infraestrutura de rede baseada em nuvem para os utilizadores hospedarem e desenvolverem análises de inteligência artificial, computação de ponta e integração de dados nas suas soluções QNAP.
