Qnap brengt een heleboel patches uit voor z’n NAS-software. Daarmee worden verschillende lekken gedicht die volgens onafhankelijke onderzoekers best kritiek zijn. Alles laten vallen en nu updaten, is dus de boodschap.
Qnap lanceert een heleboel patches voor QTS en QuTS hero. Beide besturingssystemen voor NAS- en opslagservers van de fabrikant zijn kwetsbaar voor misbruik.
Niet ernstig of onweerstaanbaar?
Eén zero-day springt in het oog: CVE-2023-50358. Qnap omschrijft die bug als niet al te ernstig en moeilijk uit te buiten. De fabrikant is tevreden met een CVSS-score van 5,8. Die analyse strookt niet met de bevindingen van Unit 42 van beveiligingsspecialist Palo Alto, dat de bug omschrijft als niet complex om te misbruiken met een potentieel kritieke impact. Unit 42 spreekt van een “onweerstaanbaar doelwit voor aanvallers.”
Palo Alto Unit 42 is niet alleen met die conclusie. Ook de Duitse BSI heeft zich intussen gemoeid. Volgens die instantie verantwoordelijk voor digitale veiligheid kan het lek voor grote schade zorgen. De BSI raadt gebruikers aan om patches snel te installeren. Waarom Qnap ervoor kiest om de kwetsbaarheid op een andere manier voor te stellen, is niet helemaal duidelijk. De bug laat hackers toe om code te injecteren, wat doorgaans effectief als kritek wordt beschouwd.
Unit42 stelt vast dat er op dit moment minstens 289.665 toestellen online zijn die kwetsbaar zijn. Een technische analyse van de kwetsbaarheid en mogelijk misbruik staat intussen ook online.
Verder blijkt de software kwetsbaar te zijn voor een andere bug: CVE-2023-47218. Die werd ontdekt door Rapid7 en wordt door Qnap eveneens als niet al te ernstig aangeduid. Qnap en Rapid7 lijken niet ideaal te hebben samengewerkt inzake responsible disclosure, met vreemd gedrag van de NAS-specialist die zich niet aan de afspraken met het beveilingsbedrijf heeft gehouden.
Voor de essentie van de zaak is al dat drama echter irrelevant. De kern van de zaak is als volgt: belangrijke software van Qnap is kwetsbaar voor misbruik en onafhankelijke instanties achten de kans groot dat aanvallers die kans zullen grijpen. Qnap heeft patches uitgebracht, dus installeren is de boodschap.
Heel veel patches
Om de één of andere reden kiest Qnap voor een ietwat vaag patchbeleid, met verschillende patches voor verschillende versies waarbij de bugs geheel of gedeeltelijk worden opgelost. Upgraden naar de recentste versie lijkt ons toch het beste idee.
| Softwareversie | Ernst | Deels gepatchte versie | Volledig gepatchte versie |
| QTS 5.1.x | Medium | QTS 5.1.0.2444 build 20230629 en recenter | QTS 5.1.5.2645 build 20240116 en recenter |
| QTS 5.0.1 | Medium | QTS 5.0.1.2145 build 20220903 en recenter | QTS 5.1.5.2645 build 20240116 en recenter |
| QTS 5.0.0 | Hoog | QTS 5.0.0.1986 build 20220324 en recenter | QTS 5.1.5.2645 build 20240116 en recenter |
| QTS 4.5.x, 4,4,x | Hoog | QTS 4.5.4.2012 build 20220419 en recenter | QTS 4.5.4.2627 build 20231225 en recenter |
| QTS 4.3.6, 4.3.5 | Hoog | QTS 4.3.6.2665 build 20240131 en recenter | QTS 4.3.6.2665 build 20240131 en recenter |
| QTS 4.3.4 | Hoog | QTS 4.3.4.2675 build 20240131 en recenter | QTS 4.3.4.2675 build 20240131 en recenter |
| QTS 4.3.x | Hoog | QTS 4.3.3.2644 build 20240131 en recenter | QTS 4.3.3.2644 build 20240131 en recenter |
| QTS 4.2.x | Hoog | QTS 4.2.6 build 20240131 en recenter | QTS 4.2.6 build 20240131 en recenter |
| QuTS hero h5.1.x | Medium | QuTS hero h5.1.0.2466 build 20230721 en recenter | QuTS hero h5.1.5.2647 build 20240118 en recenter |
| QuTS hero h5.0.1 | Medium | QuTS hero h5.0.1.2192 build 20221020 en recenter | QuTS hero h5.1.5.2647 build 20240118 en recenter |
| QuTS hero h5.0.0 | Hoog | QuTS hero h5.0.0.1986 build 20220324 en recenter | QuTS hero h5.1.5.2647 build 20240118 en recenter |
| QuTS hero h4.x | Hoog | QuTS hero h4.5.4.1991 build 20220330 en recenter | QuTS hero h4.5.4.2626 build 20231225 en recenter |
| QuTScloud c5.x | Hoog | QuTScloud c5.1.5.2651 en recenter | QuTScloud c5.1.5.2651 en recenter |
Criminelen viseren geregeld bugs in software van Qnap en er is geen reden om te denken dat het risico deze keer lager is. Als Palo Alto en de BSI gelijk hebben, zal het niet lang duren voor hackers de bugs viseren. De updates mogen dus een prioriteit zijn.