Компания Qnap выпустила исправления для нескольких уязвимостей в своих NAS, включая опасный баг, связанный с выполнением произвольного кода, PoC-эксплоит для которого был опубликован на прошлой неделе.

Напомним, что недавно аналитики компании WatchTowr Labs рассказали, что провели обширный аудит безопасности операционной системы Qnap QTS (QuTSCLoud и QTS Hero), используемой в NAS компании. В результате были обнаружены 15 уязвимостей, причем на момент публикации отчета специалистов 11 из них оставались неисправленными.

Одной из наиболее опасных проблем, найденных исследователями, была CVE-2024-27130. Это уязвимость переполнения буфера стека, связанная с функцией No_Support_ACL в файле share.cgi, которая позволяла злоумышленникам осуществить удаленное выполнение кода при соблюдении определенных условий.

Хуже того, к своему отчету специалисты приложили PoC-эксплоит для CVE-2024-27130, и раскритиковали Qnap за нерасторопность в вопросе выпуска исправлений. Дело в том, что эксперты предупредили разработчиков о багах еще в период с декабря 2023 года по январь 2024 года, то есть выждали даже больше 90 положенных дней перед раскрытием проблем.

На этой неделе Qnap наконец устранила проблему, выпустив QTS 5.1.7.2770 build 20240520 и QuTS hero h5.1.7.2770 build 20240520, в которых также исправлены четыре другие уязвимости, о которых сообщала WatchTowr.

При этом в компании подчеркнули, что эксплуатация CVE-2024-27130 была возможна только на устройствах с отключенной защитой ASLR (Address Space Layout Randomization), а ASLR по умолчанию включена на всех устройствах Qnap под управлением QTS 4.x и 5.x. То есть использование уязвимости было сложным и маловероятным.

Сообщается, что еще два бага, из числа найденных WatchTowr, будут устранены «в ближайшее время». Кроме того, Qnap пока не подтвердила наличие еще трех уязвимостей.

Также в Qnap ответили на критику исследователей, пообещав оптимизировать процессы и ускорить работу над патчами.

«Мы сожалеем о любых проблемах с координированием, которые могли возникнуть в связи с графиком выпуска продуктов и раскрытием этих уязвимостей. Мы прилагаем усилия для улучшения наших процессов и механизмов взаимодействия в будущем, чтобы предотвратить повторное возникновение подобных проблем, — заявили в Qnap. — В дальнейшем мы обязуемся завершать устранение уязвимостей, отнесенных к категориям высокой или критической степени серьезности, и выпускать исправления в течение 45 дней».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии