QNAP:s nyheter

Taiwan, Taipei, den 21 maj 2024 - QNAP® Systems, Inc. (QNAP) åtar sig att upprätthålla de högsta säkerhetsstandarderna i våra produkter. Vi informerades nyligen om flera säkerhetsrisker i vårt operativsystem QTS, enligt information i en rapport från WatchTowr Labs. Vi tar itu med upptäckterna och ger huvuddragen i åtgärderna vi vidtar för att lösa dessa problem.

Åtgärda de rapporterade säkerhetsriskerna i QTS

Vi uppskattar säkerhetsforskarnas insatser för att identifiera de möjliga säkerhetsriskerna i våra produkter. Vi har tilldelat CVE ID:n till de bekräftade säkerhetsriskerna i rapporten. Fyra av dessa säkerhetsrisker (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) åtgärdades i uppdateringen till QTS 5.1.6/QuTS hero h5.1.6 som publicerades i april 2024. De övriga bekräftade säkerhetsriskerna (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) har åtgärdats i dagens uppdatering till QTS 5.1.7/QuTS hero h5.1.7 (21 maj, GMT+8).

Närmare bestämt:

• CVE-2024-27131: Förbättringen kräver en ändring i gränssnittsspecifikationerna i QuLog Center. Det är inte en egentlig säkerhetsrisk, utan snarare ett designval och påverkar endast interna nätverksscenarier. Den här ändringen åtgärdas i QTS 5.2.0 / QuTS hero h5.2.0.
• WT-2023-0050: Det här problemet granskas fortfarande och har ännu inte bekräftats som en giltig säkerhetsrisk. Vi arbetar mycket nära forskarna för att klargöra dess status.
• WT-2024-0004 and WT-2024-0005: Dessa problem granskas också och vi håller aktiva diskussioner med forskarna för att förstå och lösa dem.
• WT-2024-0006: Det här problemet har tilldelats ett CVE ID och löses i den kommande versionen.

Säkerhetsrisken CVE-2024-27130

Säkerhetsrisken CVE-2024-27130 som har rapporterats under WatchTowr ID WT-2023-0054 orsakas av osäker användning av funktionen strcpy i funktionen No_Support_ACL, som används till att hämta begäran get_file_size i skriptet share.cgi. Det är skriptet används när media delas med externa användare. För att utnyttja den här säkerhetsrisken behöver angripare en giltig ssid-parameter som genereras när en NAS-användare delar en fil på sin QNAP-enhet.

Vi vill försäkra våra användare att alla QTS / QuTS hero 4.x- och 5.x-versioner har aktiverad Address Space Layout Randomization (ASLR). ASLR ökar avsevärt svårigheten för angripare att utnyttja den här säkerhetsrisken. Därför har vi uppskattat dess allvarlighetsgrad till Medelhög. Vi rekommenderar dock starkt att användare uppdaterar till version QTS 5.1.7/QuTS hero h5.1.7 så snart den blir tillgänglig för att säkerställa att systemen är skyddade.

Säkerhetsåtagande

QNAP PSIRT har alltid varit förebyggande genom att samarbeta med säkerhetsforskare för att prioritera och åtgärda säkerhetsrisker. Vi beklagar eventuella koordinationsproblem som har uppstått mellan produktens lanseringsschema och upptäckten av dessa säkerhetsrisker. Vi vidtar åtgärder för att förbättra våra processer och vår koordination i framtiden för att förhindra att sådana problem uppstår på nytt.

I framtiden åtar vi oss att slutföra åtgärder och publicera lösningar inom 45 dagar för säkerhetsrisker med allvarlighetsgraden Hög eller Kritisk. För säkerhetsrisker med allvarlighetsgraden Medelhög slutför vi åtgärder och publicerar lösningar inom 90 dagar.

Vi ber om ursäkt för eventuella besvär det här har orsakat och åtar oss att kontinuerligt förbättra våra säkerhetsåtgärder. Vårt mål är att arbeta nära med forskare i hela världen för att säkerställa att våra produkter har högsta möjliga säkerhet.

Vi rekommenderar att regelbundet uppdatera systemet till den senaste versionen för att skydda enheten och dra nytta av de senaste lösningarna mot säkerhetsrisker. Kontrollera produktsupportstatus för att se de senaste tillgängliga uppdateringarna till din NAS-modell.

QNAP Product Security Incident Response Team (PSIRT)

Security Advisory

• QSA-24-20
• QSA-24-23