Alert GCSA-24155 - Vulnerabilita' critiche nei NAS QNAP


******************************************************************

Alert ID: GCSA-24155
data: 26 novembre 2024
titolo: Vulnerabilita' critiche nei NAS QNAP

******************************************************************

:: Descrizione del problema

QNAP ha corretto 24 vulnerabilita', delle quali 2 di gravita' "critica"
e 9 di gravita' "alta", presenti in vari prodotti.

Il produttore consiglia vivamente ai clienti di installare gli aggiornamenti
il prima possibile, per rimanere protetti da potenziali attacchi.

I device di questo tipo non dovrebbero mai essere esposti direttamente ad Internet,
ma essere invece visibili solo via VPN, per impedire lo sfruttamento da remoto
delle vulnerabilita'.

Maggiori informazioni sono disponibili alla sezione "Riferimenti".


:: Software interessato

QTS 5.2.x, versioni precedenti alla 5.2.1.2930 build 20241025
QTS 5.1.x, versioni precedenti alla 5.1.8.2823 build 20240712
QuTS hero h5.2.x, versioni precedenti alla h5.2.1.2929 build 20241025
QuTS hero h5.1.x, versioni precedenti alla h5.1.8.2823 build 20240712
QuLog Center 1.7.x, versioni precedenti alla 1.7.0.831 (2024/10/15)
QuLog Center 1.8.x, versioni precedenti alla 1.8.0.888 (2024/10/15)
Notes Station 3.9.x, versioni precedenti alla 3.9.7
Photo Station 6.4.x, versioni precedenti alla 6.4.3
Media Streaming Add-on 500.1.x, versioni precedenti alla 500.1.1.6 (2024/08/02)
QuRouter 2.4.x, versioni precedenti alla 2.4.3.106
QuRouter 2.4.x, versioni precedenti alla 2.4.3.103
AI Core 3.4.x, versioni precedenti alla 3.4.1


:: Impatto

Accesso a dati riservati (ID)
Bypass delle funzionalita' di sicurezza (SFB)
Denial of Service (DoS)
Esecuzione remota di codice arbitrario (RCE)
Cross-site Scripting (XSS)

:: Soluzioni

Aggiornare i prodotti alle ultime versioni
https://www.qnap.com/it-it/security-advisory/qsa-24-36
https://www.qnap.com/it-it/security-advisory/qsa-24-37
https://www.qnap.com/it-it/security-advisory/qsa-24-39
https://www.qnap.com/it-it/security-advisory/qsa-24-40
https://www.qnap.com/it-it/security-advisory/qsa-24-43
https://www.qnap.com/it-it/security-advisory/qsa-24-44
https://www.qnap.com/it-it/security-advisory/qsa-24-46
https://www.qnap.com/it-it/security-advisory/qsa-24-47


:: Riferimenti

QNAP Security Advisories
https://www.qnap.com/it-it/security-advisories

Bleeping Computer
https://www.bleepingcomputer.com/news/security/qnap-addresses-critical-flaws-across-nas-router-software/

QNAP rimuove un firmware QTS difettoso che causa problemi
https://www.bleepingcomputer.com/news/technology/qnap-pulls-buggy-qts-firmware-causing-widespread-nas-issues/

Riferimenti CVE
https://www.cve.org/CVERecord?id=CVE-2024-38643
https://www.cve.org/CVERecord?id=CVE-2024-38644
https://www.cve.org/CVERecord?id=CVE-2024-38645
https://www.cve.org/CVERecord?id=CVE-2024-38646
https://www.cve.org/CVERecord?id=CVE-2024-38647
https://www.cve.org/CVERecord?id=CVE-2024-48860
https://www.cve.org/CVERecord?id=CVE-2024-48861
https://www.cve.org/CVERecord?id=CVE-2024-48862
https://www.cve.org/CVERecord?id=CVE-2024-50395
https://www.cve.org/CVERecord?id=CVE-2024-50396
https://www.cve.org/CVERecord?id=CVE-2024-50397


GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----

iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZ0XTlQ0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCAIgAoJMGugDljluiCpoP/K5NvX9CZnMtAJ9TfeJPFVER
o+GOUSRyuSovfkF2pg==
=d9E8
-----END PGP SIGNATURE-----