- 13,896
- 20
- 8 Ноя 2022
Похоже, компания решила более ответственно подойти к вопросам безопасности
Не успели мы Для просмотра ссылки Войдиили Зарегистрируйся о том, что исследователи Watchtower Labs обвинили компанию в QNAP в медленном реагировании на ответственное раскрытие уязвимостей, уже сегодня стало известно, что NAS -гигант, похоже, встал на путь истинный, Для просмотра ссылки Войди или Зарегистрируйся для затронутых операционных систем QTS и QuTS hero.
Среди исправленных уязвимостей:
«Уязвимость CVE-2024-27130 связана с небезопасным использованием функции «strcpy» в функции «No_Support_ACL», используемой в скрипте «share.cgi» для обмена медиа с внешними пользователями», — Для просмотра ссылки Войдиили Зарегистрируйся «Для эксплуатации этой уязвимости требуется действительный параметр SSID, который генерируется при обмене файлами с NAS-устройствами».
QNAP отметила, что все версии QTS 4.x и 5.x имеют включённую функцию ASLR, затрудняющую эксплуатацию данной уязвимости.
Обновления были выпущены через четыре дня после того, как сингапурская компания по кибербезопасности Для просмотра ссылки Войдиили Зарегистрируйся включая четыре бага, которые могли быть использованы для обхода аутентификации и выполнения произвольного кода.
Уязвимости под идентификаторами CVE-2023-50361 — CVE-2023-50364 были исправлены QNAP 25 апреля 2024 года. Однако, компания ещё не выпустила исправления для CVE-2024-27131, которую WatchTowr описал как «спуфинг логов через «x-forwarded-for», позволяющий записывать загрузки с произвольного источника».
В то же время QNAP утверждает, что CVE-2024-27131 не является уязвимостью, а представляет собой «дизайнерское решение», требующее изменения спецификаций интерфейса QuLog Center. Как бы то ни было, данное «решение» планируется исправить в QTS 5.2.0.
Подробности о четырёх других уязвимостях пока не раскрываются, однако уже известно, что одна из них получила идентификатор CVE и будет исправлена в ближайшем обновлении.
Эксперты WatchTowr заявили, что были вынуждены опубликовать информацию об уязвимостях после того, как QNAP не устранила их в течение 90-дневного срока раскрытия информации. При том, что компания несколько раз просила отсрочку в публикации общедоступного отчёта.
В ответ на критику QNAP выразила сожаление по поводу координационных проблем и обязалась выпускать исправления для критических уязвимостей в течение 45 дней, а для уязвимостей средней опасности — в течение 90 дней.
«Приносим извинения за любые неудобства и стремимся постоянно улучшать наши меры безопасности», — добавили в компании. «Наша цель — тесно сотрудничать с исследователями по всему миру для обеспечения наивысшего уровня безопасности нашей продукции».
С учётом того, что уязвимости в устройствах QNAP NAS ранее использовались атакующими, пользователям рекомендуется как можно скорее обновить свои системы до последних версий QTS и QuTS hero для предотвращения потенциальных угроз.
Не успели мы Для просмотра ссылки Войди
Среди исправленных уязвимостей:
- Для просмотра ссылки Войди
или Зарегистрируйся Неправильное назначение разрешений, позволяющее аутентифицированным пользователям читать или изменять ресурсы через сеть. - Для просмотра ссылки Войди
или Зарегистрируйся Уязвимость двойного освобождения памяти, позволяющая выполнять произвольный код через сеть. - Для просмотра ссылки Войди
или Зарегистрируйся Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войдиили Зарегистрируйся Набор уязвимостей переполнения буфера, позволяющих выполнять произвольный код через сеть.
«Уязвимость CVE-2024-27130 связана с небезопасным использованием функции «strcpy» в функции «No_Support_ACL», используемой в скрипте «share.cgi» для обмена медиа с внешними пользователями», — Для просмотра ссылки Войди
QNAP отметила, что все версии QTS 4.x и 5.x имеют включённую функцию ASLR, затрудняющую эксплуатацию данной уязвимости.
Обновления были выпущены через четыре дня после того, как сингапурская компания по кибербезопасности Для просмотра ссылки Войди
Уязвимости под идентификаторами CVE-2023-50361 — CVE-2023-50364 были исправлены QNAP 25 апреля 2024 года. Однако, компания ещё не выпустила исправления для CVE-2024-27131, которую WatchTowr описал как «спуфинг логов через «x-forwarded-for», позволяющий записывать загрузки с произвольного источника».
В то же время QNAP утверждает, что CVE-2024-27131 не является уязвимостью, а представляет собой «дизайнерское решение», требующее изменения спецификаций интерфейса QuLog Center. Как бы то ни было, данное «решение» планируется исправить в QTS 5.2.0.
Подробности о четырёх других уязвимостях пока не раскрываются, однако уже известно, что одна из них получила идентификатор CVE и будет исправлена в ближайшем обновлении.
Эксперты WatchTowr заявили, что были вынуждены опубликовать информацию об уязвимостях после того, как QNAP не устранила их в течение 90-дневного срока раскрытия информации. При том, что компания несколько раз просила отсрочку в публикации общедоступного отчёта.
В ответ на критику QNAP выразила сожаление по поводу координационных проблем и обязалась выпускать исправления для критических уязвимостей в течение 45 дней, а для уязвимостей средней опасности — в течение 90 дней.
«Приносим извинения за любые неудобства и стремимся постоянно улучшать наши меры безопасности», — добавили в компании. «Наша цель — тесно сотрудничать с исследователями по всему миру для обеспечения наивысшего уровня безопасности нашей продукции».
С учётом того, что уязвимости в устройствах QNAP NAS ранее использовались атакующими, пользователям рекомендуется как можно скорее обновить свои системы до последних версий QTS и QuTS hero для предотвращения потенциальных угроз.
- Источник новости
- www.securitylab.ru
