image

QNAP bestempelt meerdere kritieke kwetsbaarheden als belangrijk

dinsdag 26 november 2024, 09:37 door Redactie, 4 reacties

QNAP heeft meerdere kwetsbaarheden die onder de CVSS-beoordeling als kritiek zijn aangemerkt zelf als 'belangrijk' bestempeld. De NAS- en routerfabrikant kwam dit weekend met beveiligingsupdates voor onder andere de NAS-applicatie Notes Station 3 en QuRouter, het besturingssysteem dat op de NAS-apparaten van QNAP draait. Via de kwetsbaarheden zouden in het ergste geval remote aanvallers toegang tot de apparaten kunnen krijgen.

De beveiligingsbulletins voor Notes Station 3 en QuRouter zijn door QNAP aangemerkt als 'important'. Twee kwetsbaarheden in Notes Station 3 (CVE-2024-38643 en CVE-2024-38645) alsmede een beveiligingslek in QuRouter (CVE-2024-48860) zijn volgens de CVSS-beoordeling kritiek. Het Common Vulnerability Scoring System (CVSS) is bedacht voor het beoordelen van de impact van kwetsbaarheden. Een CVSS-score bestaat uit een schaal van 1 tot en met 10, waarbij 10 de maximale score is.

De score is uit verschillende onderdelen opgebouwd. Zo wordt gekeken wat de aanvalsvector is (lokaal, fysiek of netwerk), hoe lastig het is om misbruik van de kwetsbaarheid te maken, of er interactie van de gebruiker is vereist en of de aanvaller over bepaalde permissies moet beschikken om de aanval uit te voeren. Verder wordt er ook gekeken wat de gevolgen van de kwetsbaarheid zijn voor de beschikbaarheid, vertrouwelijkheid en integriteit van informatie of het systeem.

Dit leidt tot een "basisscore" die kan worden aangevuld met een tijdelijke score, bijvoorbeeld de beschikbaarheid van exploitcode, en een omgevingsscore, die specifiek voor de organisatie van een gebruiker is. Organisaties kunnen zo zien welke kwetsbaarheden de grootste prioriteit moeten krijgen. Beveiligingslekken met een basisscore van 10 komen geregeld in het nieuws.

CVE-2024-48860 betreft command injection, waardoor een remote aanvaller commando's op de router kan uitvoeren. CVE-2024-38643 wordt omschreven als 'ontbrekende authenticatie', waardoor remote aanvallers toegang tot belangrijke functies kunnen krijgen en uitvoeren. CVE-2024-38645 is een server-side request forgery (SSRF) kwetsbaarheid waardoor een geauthenticeerde aanvaller applicatiedata kan lezen. Door niet aan te geven dat het om kritieke kwetsbaarheden gaat kan het zijn dat gebruikers de updates later installeren dan ze zouden doen bij kritieke beveiligingslekken.

Reacties (4)
26-11-2024, 13:31 door Anoniem
Gisteren meldde The Register dat gebruikers na een update geen toegang meer hebben tot het apparaat. Het is me niet duidelijk of dit dezelfde update is:
https://www.theregister.com/2024/11/25/qnap_faulty_update/
26-11-2024, 14:08 door Anoniem
Een van de redenen dat QNAP hier niet in huis komt.
Het is werkelijk de ene na de andere kwetsbaarheid of update issue.
26-11-2024, 14:31 door Briolet
Door Anoniem: Gisteren meldde The Register dat gebruikers na een update geen toegang meer hebben tot het apparaat. Het is me niet duidelijk of dit dezelfde update is:
https://www.theregister.com/2024/11/25/qnap_faulty_update/

Waarom post je dit op deze site en niet bij The Register? The Register heeft dat bericht gisteren in de namiddag geplaatst, terwijl dat toen al verouderd nieuws betrof. Deze site had gisterochtend al gemeld dat er inmiddels een gefixte update uitgebracht was voor dit probleem.
26-11-2024, 19:32 door Anoniem
Door Anoniem: Een van de redenen dat QNAP hier niet in huis komt.
Het is werkelijk de ene na de andere kwetsbaarheid of update issue.
FortiNet al eens gezien. Of Palo. En dit zijn merken die je juist moeten beveiligen, bagger ten top.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.