QNAP ha identificato e risolto vulnerabilità critiche nei suoi sistemi operativi License Center e QTS/QuTS hero. Queste includono vulnerabilità di tipo CRLF Injection e Command Injection che rappresentano rischi significativi per la sicurezza. Analisi pubbliche rivelano che oltre 4 milioni di asset QNAP sono esposti online, evidenziando l’urgenza di affrontare queste vulnerabilità. Gli attaccanti che sfruttano queste falle possono eseguire comandi arbitrari o manipolare i dati dell’applicazione, con potenziali compromissioni dell’integrità e della riservatezza del sistema.
| Prodotto | QNAP Turbo NAS |
| Data | 2024-12-13 17:14:24 |
| Informazioni | Trending, Fix Available |
Riassunto tecnico
-
Command Injection Vulnerability (CVE-2024-48863):
- Componente interessato: License Center (versioni 1.9.x)
- Gravità: Alta (CVSS 7.7)
- Impatto: Attaccanti remoti possono eseguire comandi arbitrari, ottenendo il pieno controllo del sistema.
-
CRLF Injection Vulnerabilities (CVE-2024-48867, CVE-2024-48868):
- Componente interessato: QTS e QuTS hero
- Gravità: Alta
- Impatto: Attaccanti remoti possono modificare i dati dell’applicazione sfruttando una gestione impropria delle sequenze CRLF (Carriage Return e Line Feed), potenzialmente causando comportamenti imprevisti del sistema o manipolazioni dei dati.
-
Command Injection Vulnerability (CVE-2024-50393):
- Componente interessato: QTS e QuTS hero
- Gravità: Critica (CVSS 8.7)
- Impatto: Attaccanti remoti possono eseguire comandi arbitrari, consentendo una compromissione totale dei sistemi interessati.
Raccomandazioni
-
Aggiornamenti immediati:
- License Center: Aggiornare alla versione 1.9.43 o successiva per mitigare CVE-2024-48863.
- QTS e QuTS hero: Aggiornare alle versioni più recenti disponibili per risolvere CVE-2024-48867, CVE-2024-48868 e CVE-2024-50393.
-
Rafforzamento del sistema:
- Limitare l’accesso ai dispositivi QNAP a intervalli di IP affidabili.
- Disattivare i servizi non necessari per ridurre la superficie di attacco.