威聯通®科技(QNAP)致力於維護產品的最高安全標準。近期我們收到了關於 QTS 作業系統中多個弱點的通知,詳情請參見 WatchTowr Labs 的報告。我們希望就這些發現進行解釋,並概述我們的行動以解決這些問題。
解決報告中的 QTS 弱點
我們感謝安全研究人員在識別我們產品潛在弱點方面所作的努力。報告中的 15 個弱點,我們已經為確認的弱點指派了 CVE ID。所有確認的弱點(CVE-2024-21902,CVE-2024-27127,CVE-2024-27128,CVE-2024-27129,CVE-2024-27130)已於今日(台北時間 5 月 21 日)於最新的 QTS 5.1.7 / QuTS hero h5.1.7 可用版本中獲得解決。
詳細如下:
• CVE-2024-27131:此增強功能需要在 QuLog Center 中更改 UI 規範。這不是實際的弱點,而是一個設計選擇,僅影響內部網路使用情境。這個修正將在 QTS 5.2.0 中解決。
• WT-2023-0050:此問題仍在審查中,尚未確認為有效弱點。我們正在與研究人員密切合作以釐清其狀態。
• WT-2024-0004 和 WT-2024-0005:這些問題也正在審查中,我們正在與研究人員進行積極討論以了解並解決。
• WT-2024-0006:此問題已被分配 CVE ID,並將在即將推出的版本中解決。
CVE-2024-27130 弱點
WatchTowr ID WT-2023-0054 報告中公布的 CVE-2024-27130 弱點是由於在 No_Support_ACL 功能中不安全地使用 'strcpy' 函數所致,該功能被 share.cgi script 中的 get_file_size 請求所使用。當與外部用戶分享媒體時,將使用此 script。要利用此弱點,攻擊者需要有效的 'ssid' 參數,該參數是當 NAS 用戶從其 QNAP 設備分享檔案時生成的。
我們希望向我們的用戶保證,所有的 QTS 4.x 和 5.x 版本都啟用了位址空間配置隨機載入(Address space layout randomization,ASLR)。ASLR 顯著增加了攻擊者利用此弱點的難度。因此,我們將其嚴重性評估為中等。儘管如此,我們強烈建議用戶立即更新至 QTS 5.1.7 / QuTS hero h5.1.7,以確保 NAS 系統受到保護。
對安全的承諾
QNAP PSIRT 一直以來積極地與安全研究人員合作,對弱點進行分類和修復。對於可能發生的產品發布時間表和這些弱點披露之間的協調問題,我們深感遺憾。我們正在採取措施改進我們的流程和協調,以防止類似問題再次發生。
未來,對於被分類為高或關鍵嚴重性的弱點,我們承諾在 45 天內完成修復並發布修復程式。對於中等嚴重性的弱點,我們將在 90 天內完成修復並發布修復程式。
對此可能引起的任何不便,我們深表歉意,並承諾不斷增強我們的安全措施。我們的目標是與全球的研究人員密切合作,確保我們產品的最高安全品質。
為了保護您的 NAS 系統與資料,我們建議定期將系統更新至最新版本以獲得最新的弱點修復。您可以查看產品支援狀態了解您的 NAS 型號的最新更新。
QNAP 產品資安事件應對團隊(PSIRT)
安全建議
QSA-24-20
QSA-24-23
關於 QNAP
QNAP 命名源自於高品質網路設備製造商(Quality Network Appliance Provider),我們致力研發軟體應用,匠心優化硬體設計,並設立自有生產線以提供全面而先進的科技解決方案。QNAP 專注於儲存、網通及智慧視訊產品創新,並提供 Cloud NAS 解決方案,透過軟體訂閱制及多元化服務管道建構嶄新的科技生態圈。在 QNAP 的企業藍圖中,NAS 早已突破儲存裝置的框架,搭配雲基礎網路架構上的多項研發創新,協助客戶高效率導入人工智慧分析、邊緣運算及資訊整合應用,創造更大優勢與價值。
熱門新聞
2024-06-14
2024-06-14
2024-06-14
2024-06-14
2024-06-14
2024-06-14
