Sala de imprensa QNAP
Mantenha-se a par das últimas notícias e prémios da QNAP e ligue-se à nossa equipa
Resposta oficial da PSIRT da QNAP sobre recentes relatórios de segurança (WatchTowr Labs)
Lisboa, Portugal, 21 de maio, 2024 - A QNAP® Systems, Inc. (QNAP) está empenhada em manter os mais elevados padrões de segurança para os seus produtos. Fomos recentemente informados de várias vulnerabilidades no nosso sistema operativo QTS, conforme detalhado num relatório da WatchTowr Labs. Gostaríamos de abordar as descobertas e delinear as nossas ações para resolver estes problemas.
Abordando as vulnerabilidades relatadas do QTS
Apreciamos os esforços dos investigadores de segurança na identificação de potenciais vulnerabilidades nos nossos produtos. Atribuímos IDs CVE às vulnerabilidades confirmadas no relatório. Quatro destas vulnerabilidades (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) foram corrigidas na atualização QTS 5.1.6 / QuTS hero h5.1.6 lançada em abril de 2024. As outras vulnerabilidades confirmadas (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) foram corrigidas na atualização QTS 5.1.7 / QuTS hero h5.1.7 de 21 de maio.
Especificamente:
- CVE-2024-27131: O melhoramento requer uma alteração nas especificações da interface de utilizador no QuLog Center. Não se trata de uma vulnerabilidade real, mas sim de uma escolha de design, e apenas afeta cenários de rede interna. Esta modificação será abordada no QTS 5.2.0 / QuTS hero h5.2.0.
- WT-2023-0050: Este problema ainda está a ser analisado e não foi confirmado como uma vulnerabilidade válida. Estamos a trabalhar em estreita colaboração com os investigadores para clarificar o seu estado.
- WT-2024-0004 e WT-2024-0005: Estas questões também estão a ser analisadas e estamos em conversações ativas com os investigadores para as compreender e resolver.
- WT-2024-0006: Foi atribuído a este problema o ID CVE e será resolvido na próxima versão.
Vulnerabilidade CVE-2024-27130
A vulnerabilidade CVE-2024-27130, que foi relatada sob o ID WatchTowr WT-2023-0054, é causada pelo uso inseguro da função 'strcpy' na função No_Support_ACL, que é utilizada pela solicitação get_file_size no script share.cgi. Este script é utilizado quando se partilha multimédia com utilizadores externos. Para explorar esta vulnerabilidade, um atacante necessita de um parâmetro 'ssid' válido, que é gerado quando um utilizador do NAS partilha um ficheiro a partir do seu dispositivo QNAP.
Queremos assegurar os nossos utilizadores que todas as versões QTS / QuTS hero 4.x e 5.x têm a ASLR (Address Space Layout Randomization) ativada. A ASLR aumenta significativamente a dificuldade de um atacante explorar esta vulnerabilidade. Por isso, avaliámos a sua gravidade como Média. No entanto, recomendamos vivamente que os utilizadores atualizem para o QTS 5.1.7 / QuTS hero h5.1.7 assim que estiver disponível para garantir que os seus sistemas estão protegidos.
Compromisso para com a segurança
A PSIRT da QNAP tem sido sempre proativa na colaboração com investigadores de segurança para triagem e correção de vulnerabilidades. Lamentamos quaisquer problemas de coordenação que possam ter ocorrido entre o cronograma de lançamento do produto e a divulgação dessas vulnerabilidades. Estamos a tomar medidas para melhorar os nossos processos e coordenação no futuro para evitar que tais problemas voltem a surgir.
No futuro, para as vulnerabilidades classificadas como de gravidade Alta ou Crítica, comprometemo-nos a concluir a análise e a lançar correções no prazo de 45 dias. Para as vulnerabilidades de gravidade Média, concluiremos a análise e lançaremos as correções no prazo de 90 dias.
Lamentamos qualquer incómodo que isto possa ter causado e estamos empenhados em melhorar continuamente as nossas medidas de segurança. O nosso objetivo é trabalhar em estreita colaboração com investigadores de todo o mundo para garantir a mais elevada qualidade de segurança dos nossos produtos.
Para proteger o seu dispositivo, recomendamos que atualize regularmente o seu sistema para a versão mais recente para beneficiar das correções de vulnerabilidades. Pode verificar o estado de suporte do produto para ver as atualizações mais recentes disponíveis para o seu modelo NAS.
Equipa de Resposta a Incidentes de Segurança de Produtos (PSIRT) da QNAP
Avisos de segurança
Sobre a QNAP
A QNAP (Quality Network Appliance Provider) dedica-se a fornecer soluções abrangentes no desenvolvimento de software, design de hardware e fabrico interno. Centrando-se no armazenamento, funcionamento em rede e inovações de vídeo inteligente, a QNAP apresenta agora uma solução de NAS de nuvem revolucionária, que se junta ao nosso software de vanguarda baseado em assinatura e ao ecossistema de canais de serviços diversificado. A QNAP vê o NAS como mais do que simples armazenamento e criou uma infraestrutura de rede baseada em nuvem para os utilizadores hospedarem e desenvolverem análises de inteligência artificial, computação de ponta e integração de dados nas suas soluções QNAP.
