Похоже, компания решила более ответственно подойти к вопросам безопасности
Не успели мы опубликовать вчерашнюю новость о том, что исследователи Watchtower Labs обвинили компанию в QNAP в медленном реагировании на ответственное раскрытие уязвимостей, уже сегодня стало известно, что NAS-гигант, похоже, встал на путь истинный, опубликовав сразу 5 исправлений для затронутых операционных систем QTS и QuTS hero.
Среди исправленных уязвимостей:
Все уязвимости требуют для эксплуатации наличия учётной записи на устройствах NAS, все были исправлены в обновлениях QTS 5.1.7.2770 и QuTS hero h5.1.7.2770. Обнаруживший и сообщивший о проблемах исследователь Алиц Хаммонд из WatchTowr Labs получил признание от компании QNAP за свои усилия.
«Уязвимость CVE-2024-27130 связана с небезопасным использованием функции «strcpy» в функции «No_Support_ACL», используемой в скрипте «share.cgi» для обмена медиа с внешними пользователями», — говорится в заявлении QNAP. «Для эксплуатации этой уязвимости требуется действительный параметр SSID, который генерируется при обмене файлами с NAS-устройствами».
QNAP отметила, что все версии QTS 4.x и 5.x имеют включённую функцию ASLR, затрудняющую эксплуатацию данной уязвимости.
Обновления были выпущены через четыре дня после того, как сингапурская компания по кибербезопасности обнародовала информацию о 15 уязвимостях, включая четыре бага, которые могли быть использованы для обхода аутентификации и выполнения произвольного кода.
Уязвимости под идентификаторами CVE-2023-50361 — CVE-2023-50364 были исправлены QNAP 25 апреля 2024 года. Однако, компания ещё не выпустила исправления для CVE-2024-27131, которую WatchTowr описал как «спуфинг логов через «x-forwarded-for», позволяющий записывать загрузки с произвольного источника».
В то же время QNAP утверждает, что CVE-2024-27131 не является уязвимостью, а представляет собой «дизайнерское решение», требующее изменения спецификаций интерфейса QuLog Center. Как бы то ни было, данное «решение» планируется исправить в QTS 5.2.0.
Подробности о четырёх других уязвимостях пока не раскрываются, однако уже известно, что одна из них получила идентификатор CVE и будет исправлена в ближайшем обновлении.
Эксперты WatchTowr заявили, что были вынуждены опубликовать информацию об уязвимостях после того, как QNAP не устранила их в течение 90-дневного срока раскрытия информации. При том, что компания несколько раз просила отсрочку в публикации общедоступного отчёта.
В ответ на критику QNAP выразила сожаление по поводу координационных проблем и обязалась выпускать исправления для критических уязвимостей в течение 45 дней, а для уязвимостей средней опасности — в течение 90 дней.
«Приносим извинения за любые неудобства и стремимся постоянно улучшать наши меры безопасности», — добавили в компании. «Наша цель — тесно сотрудничать с исследователями по всему миру для обеспечения наивысшего уровня безопасности нашей продукции».
С учётом того, что уязвимости в устройствах QNAP NAS ранее использовались атакующими, пользователям рекомендуется как можно скорее обновить свои системы до последних версий QTS и QuTS hero для предотвращения потенциальных угроз.
Гравитация научных фактов сильнее, чем вы думаете