[bezpečnost] Oficiální odpověď QNAP PSIRT na nedávné bezpečnostní zprávy (WatchTowr Labs)
Napsal: 21 kvě 2024, 15:19
Tchaj-wan, Tchaj-pej, 21. května 2024 - Společnost QNAP® Systems, Inc. (QNAP) se zavázala udržovat nejvyšší bezpečnostní standardy pro své produkty. Nedávno jsme byli informováni o několika zranitelnostech v našem operačním systému QTS, jak je podrobně popsáno ve zprávě společnosti WatchTowr Labs. Rádi bychom se k těmto zjištěním vyjádřili a nastínili naše kroky k vyřešení těchto problémů.
Řešení nahlášených zranitelností systému QTS
Oceňujeme úsilí bezpečnostních výzkumníků při identifikaci potenciálních zranitelností v našich produktech. Z patnácti nahlášených zranitelností jsme ID CVE přiřadili těm, které byly potvrzeny. S potěšením oznamujeme, že všechny potvrzené zranitelnosti (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) jsou řešeny ve verzi QTS 5.1.7 / QuTS hero h5.1.7, která je k dispozici již dnes (21. května tchajpejského času).
Konkrétně:
CVE-2024-27131: Vylepšení vyžaduje změnu specifikací uživatelského rozhraní v centru QuLog. Nejedná se o skutečnou zranitelnost, ale spíše o volbu návrhu, a týká se pouze scénářů interní sítě. Tato změna bude řešena v QTS 5.2.0.
WT-2023-0050: Tento problém je stále předmětem přezkumu a nebyl potvrzen jako platná zranitelnost. Úzce spolupracujeme s výzkumníky na vyjasnění jejího statusu.
WT-2024-0004 a WT-2024-0005: Tyto problémy jsou rovněž předmětem přezkumu a aktivně diskutujeme s výzkumníky, abychom je pochopili a vyřešili.
WT-2024-0006: Tomuto problému bylo přiděleno ID CVE a bude vyřešen v nadcházející verzi.
Zranitelnost CVE-2024-27130
Zranitelnost CVE-2024-27130, která byla nahlášena pod ID WatchTowr WT-2023-0054, je způsobena nebezpečným použitím funkce 'strcpy' ve funkci No_Support_ACL, kterou využívá požadavek get_file_size ve skriptu share.cgi. Tento skript se používá při sdílení médií s externími uživateli. Ke zneužití této zranitelnosti potřebuje útočník platný parametr 'ssid', který je generován, když uživatel NAS sdílí soubor ze svého zařízení QNAP.
Chceme naše uživatele ujistit, že všechny verze QTS 4.x a 5.x mají povolenou randomizaci rozložení adresního prostoru (ASLR). ASLR výrazně zvyšuje obtížnost zneužití této zranitelnosti útočníkem. Proto jsme její závažnost vyhodnotili jako střední. Přesto důrazně doporučujeme uživatelům aktualizovat systém na verzi QTS 5.1.7 / QuTS hero h5.1.7, jakmile bude k dispozici, aby zajistili ochranu svých systémů.
Závazek k bezpečnosti
Tým QNAP PSIRT vždy aktivně spolupracoval s výzkumnými pracovníky v oblasti zabezpečení na řešení a nápravě zranitelností. Litujeme jakýchkoli problémů s koordinací, které mohly nastat v době mezi vydáním produktu a odhalením těchto zranitelností. Podnikáme kroky ke zlepšení našich procesů a koordinace v budoucnu, abychom zabránili opakování takových problémů.
Do budoucna se zavazujeme, že u zranitelností s vysokou nebo kritickou závažností dokončíme nápravu a vydáme opravy do 45 dnů. U zranitelností se střední závažností dokončíme nápravu a vydáme opravy do 90 dnů.
Omlouváme se za případné nepříjemnosti, které to mohlo způsobit, a jsme odhodláni neustále zlepšovat naše bezpečnostní opatření. Naším cílem je úzce spolupracovat s výzkumníky po celém světě, abychom zajistili nejvyšší kvalitu zabezpečení našich produktů.
Chcete-li zabezpečit své zařízení, doporučujeme pravidelně aktualizovat systém na nejnovější verzi, abyste mohli využít oprav zranitelností. Stav podpory produktu můžete zkontrolovat a zjistit nejnovější aktualizace dostupné pro váš model NAS.
Přeloženo tranlátorem. Zdroj (EN): https://www.qnap.com/en/news/2024/offic ... htowr-labs