Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. 

Sintesi

Aggiornamenti di sicurezza QNAP risolvono molteplici vulnerabilità, di cui 4 con gravità “alta” nei prodotti QTS, QuTS hero, QuTScloud e Qsync Central.

Tipologia

• Arbitrary Code Execution
• Data Manipulation

Prodotti e versioni affette

QNAP

• Qsync Central 4.3.x, versioni precedenti alla 4.3.0.11 (2024/01/11)
• Qsync Central 4.4.x, versioni precedenti alla 4.4.0.15 (2024/01/04)
• QTS 4.5.x, versioni precedenti alla 4.5.4.2627 build 20231225
• QTS 5.1.x, versioni precedenti alla 5.1.4.2596 build 20231128
• QuTS hero h4.5.x, versioni precedenti alla h4.5.4.2626 build 20231225
• QuTS hero h5.1.x, versioni precedenti alla h5.1.4.2596 build 20231128
• QuTScloud c5.x, versioni precedenti alla c5.1.5.2651

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti interessati seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2023-47568

CVE-2023-47564

CVE-2023-39297

CVE-2023-45025

Riferimenti

https://www.qnap.com/en/security-advisory/qsa-24-05

https://www.qnap.com/en/security-advisory/qsa-24-03

https://www.qnap.com/en/security-advisory/qsa-23-30

https://www.qnap.com/en/security-advisory/qsa-23-47

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.