Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Vulnerabilità in prodotti QNAP (AL01/241125/CSIRT-ITA) – Aggiornamento

Data:
10 Dicembre 2024 12:00

Data di creazione: 25/11/2024 10:36

Sintesi

Aggiornamenti di sicurezza QNAP risolvono 24 vulnerabilità, di cui 2 con gravità “critica” e 9 con gravità “alta”, in vari prodotti.

Note (aggiornamento del 10/12/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-50395 risulta disponibile in rete.

Rischio (aggiornato al 10/12/2024)

Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (76,28/100)1.

Tipologia

  • Arbitrary Code Execution
  • Arbitrary File Write/Read
  • Authentication Bypass
  • Information Disclosure
  • Elevation of Privilege

Prodotti e versioni affette

QNAP

  • QTS 5.2.x, versioni precedenti alla 5.2.1.2930 build 20241025
  • QuTS hero h5.2.x, versioni precedenti alla h5.2.1.2929 build 20241025
  • QuLog Center 1.7.x, versioni precedenti alla 1.7.0.831 (2024/10/15)
  • QuLog Center 1.8.x, versioni precedenti alla 1.8.0.888 (2024/10/15)
  • Notes Station 3.9.x, versioni precedenti alla 3.9.7
  • Media Streaming Add-on 500.1.x, versioni precedenti alla 500.1.1.6 (2024/08/02)
  • QuRouter 2.4.x, versioni precedenti alla 2.4.3.106
  • AI Core 3.4.x, versioni precedenti alla 3.4.1

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti interessati seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:

CVE-2024-50396

CVE-2024-50397

CVE-2024-48862

CVE-2024-38643

CVE-2024-38644

CVE-2024-38645

CVE-2024-38646

CVE-2024-50395

CVE-2024-48860

CVE-2024-48861

CVE-2024-38647

Riferimenti

https://www.qnap.com/it-it/security-advisory/qsa-24-43

https://www.qnap.com/it-it/security-advisory/qsa-24-46

https://www.qnap.com/it-it/security-advisory/qsa-24-36

https://www.qnap.com/it-it/security-advisory/qsa-24-47

https://www.qnap.com/it-it/security-advisory/qsa-24-44

https://www.qnap.com/it-it/security-advisory/qsa-24-40

https://www.qnap.com/it-it/security-advisories

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.