QNAP heeft twee kritieke commandinjectionkwetsbaarheden gedicht

Het Taiwanese QNAP Systems heeft twee kritieke kwetsbaarheden in het QTS-besturingssysteem en de applicaties op nas-apparaten gedicht. Door de kwetsbaarheden kon een aanvaller ongeautoriseerde commando's versturen naar de applicaties.

De commandinjectionkwetsbaarheden zijn bijgehouden onder CVE-2023-23368 en CVE-2023-233669. Inmiddels heeft QNAP de kwetsbaarheden middels een firmware-update gedicht. De ernst van de eerste kwetsbaarheid werd geclassificeerd met een CVSS van 9,8 uit 10. De getroffen QTS-versies waren QTS 5.0.x, QTS 4.5.x, QuTS hero h5.0.x, QuTS hero h4.5.x en QuTScloud c5.0.1.

De tweede kwetsbaarheid had een CVSS van 9 uit 10, waarbij de volgende versies getroffen werden: 5.1.x, 4.3.6, 4.3.4, 4.3.3 en 4.2.x. Daarnaast ging het om Multimedia Console 2.1.x en 1.4.x, evenals Media Streaming add-on 500.1.x en 500.0.x.

Door Sabine Schults

Redacteur

Feedback • 06-11-2023 18:01
24 • submitter: Barreljan

06-11-2023 • 18:01

24

Submitter: Barreljan

Lees meer

QNAP fixt zes rsync-kwetsbaarheden in back-upsoftware van nasapparaten
QNAP fixt zes rsync-kwetsbaarheden in back-upsoftware van nasapparaten Nieuws van 24 januari 2025
QNAP trekt update in na problemen, sommige gebruikers moeten nas-OS vervangen
QNAP trekt update in na problemen, sommige gebruikers moeten nas-OS vervangen Nieuws van 25 november 2024
QNAP brengt firmware-update QTS 5.2 met onder andere ransomwarebeveiliging uit
QNAP brengt firmware-update QTS 5.2 met onder andere ransomwarebeveiliging uit Nieuws van 23 augustus 2024
QNAP brengt goedkopere TS-432X-nas en TS-632X-nas met 10GbE-ondersteuning uit
QNAP brengt goedkopere TS-432X-nas en TS-632X-nas met 10GbE-ondersteuning uit Nieuws van 8 juli 2024
Synology en QNAP waarschuwen voor kritieke Netatalk-kwetsbaarheden
Synology en QNAP waarschuwen voor kritieke Netatalk-kwetsbaarheden Nieuws van 28 april 2022
QNAP waarschuwt gebruikers voor privilege-escalationbug in Linux-kernel - update
QNAP waarschuwt gebruikers voor privilege-escalationbug in Linux-kernel - update Nieuws van 14 maart 2022
QNAP gaat bepaalde nas-systemen langer van beveiligingsupdates voorzien
QNAP gaat bepaalde nas-systemen langer van beveiligingsupdates voorzien Nieuws van 15 februari 2022
Nieuwe ransomware maakt mogelijk gebruik van zeroday in QNAP nas-systemen
Nieuwe ransomware maakt mogelijk gebruik van zeroday in QNAP nas-systemen Nieuws van 26 januari 2022
QNAP waarschuwt klanten met onbeveiligde nas-systemen voor ransomwareaanvallen
QNAP waarschuwt klanten met onbeveiligde nas-systemen voor ransomwareaanvallen Nieuws van 7 januari 2022
QNAP geeft nas-systemen ondersteuning voor TeamViewer
QNAP geeft nas-systemen ondersteuning voor TeamViewer Nieuws van 15 september 2021
QNAP dicht ernstige kwetsbaarheden in software voor nas-systemen
QNAP dicht ernstige kwetsbaarheden in software voor nas-systemen Nieuws van 10 september 2021
QNAP: Qlocker-ransomware infecteerde gebruikers via HBS 3
QNAP: Qlocker-ransomware infecteerde gebruikers via HBS 3 Nieuws van 21 mei 2021
Meer producten en artikelen
Beveiliging en antivirus QNAP Beveiliging Bugs

Reacties (24)

-Moderatie-faq
24
24
8
3
0
13
Wijzig sortering
Bliksem B 6 november 2023 18:30
Het grootste probleem is dat de apps van QNAP allemaal gebruik maken van de zelfde poort. Ik kan niet Qsync online beschikbaar maken en de rest niet. Als je andere apps gebruikt (Emby, Plex, NextCloud, Home Assistant, etc), kan dit wel. Hierdoor kun je de omvang en de kans op een hack beperken.

Je merkt wel dat Qnap stuurt op meer Third Party Apps d.m.v. Docker en het uitfaseren van hun eigen apps (of er voor laten betalen).
CaptainKansloos @Bliksem B6 november 2023 19:29
Het grootste probleem is dat de apps van QNAP allemaal gebruik maken van de zelfde poort. Ik kan niet Qsync online beschikbaar maken en de rest niet.
Precies dat is wel een issue idd. Je kunt wel alle services via een een cloud broker service bij QNAP 'veilig' ontsluiten, maar dat wil niet iedereen. Iets meer scheiding van services en ports zou wenselijk zijn.

Enige nuancering op het artikel; de beide CVE's - iig voor de 5.0.x en 5.1.x reeks zijn gepatched in FW releases in april en mei van dit jaar. Ondertussen zijn daar alweer een aantal extra FW releases achteraan gekomen. En bovendien kun je NAS - als je dat aandurft - auto FW upgrades uit later voeren.

Je moet dus nog wel wat versies achterlopen wil je op het moment van schrijven kwetsbaar zijn voor 1 van beide CVE's.
J_van_Ekris @CaptainKansloos6 november 2023 19:55
Enige nuancering op het artikel; de beide CVE's - iig voor de 5.0.x en 5.1.x reeks zijn gepatched in FW releases in april en mei van dit jaar. Ondertussen zijn daar alweer een aantal extra FW releases achteraan gekomen. En bovendien kun je NAS - als je dat aandurft - auto FW upgrades uit later voeren.
Thanks, die vrij cruciale toevoeging miste ik inderdaad in het artikel. Ik was al naar mijn firmware versie aan het kijken en ik verwonderde me al dat er geen firmware update klaar stond ....
unixland @CaptainKansloos6 november 2023 21:37
Je kunt wel alle services via een een cloud broker service bij QNAP 'veilig' ontsluiten, maar dat wil niet iedereen.
Hier heb je geen cloudservice voor nodig. Een beetje tweaker heeft wel een nginx servertje draaien, die kan je gewoon als reverse proxy laten fungeren. Een LetsEncrypt certificaatje en je bent klaar :)
CaptainKansloos @unixland6 november 2023 22:19
Hier heb je geen cloudservice voor nodig. Een beetje tweaker heeft wel een nginx servertje draaien, die kan je gewoon als reverse proxy laten fungeren.
Het is niet alleen het aanpassen vd poort; de cloudservice ondersteund ook 2FA _native_ in de client (Qsync, QFile). Ik ben geen NginX-godheid; dat zal met een reverse proxy ook wel kunnen. Er zit ook een ingebouwde reverse proxy mogelijkheid in QTS, maar die is volgens mij vrij gelimiteerd.

[Reactie gewijzigd door CaptainKansloos op 23 juli 2024 09:18]

slijkie @Bliksem B6 november 2023 18:32
Ik gebruik inderdaad ook alleen docker images, veel meer up to date. :)
Friemel @slijkie6 november 2023 18:37
Ik merk dat lokale apps, zoals Sonarr, veel en veel sneller werken dan in Docker. De i/o is blijkbaar niet snel genoeg te krijgen, al zal dat mede te maken hebben met welk type nas je hebt.
Bliksem B @Friemel6 november 2023 18:53
Sonarr is dan ook weer niet erg. Deze kun je een eigen port geven en updates worden automatisch doorgevoerd (als je een reposotoy toevoegt). Maar als je wel dock gebruikt is aan te raden een caching SSD te gebruiken (of een losse SSD).

Bij mijn NAS kan dit niet meer, dus heb ik via een symbolic link de volumemounts van Home Assistant en de gehele Emby-app verplaatst naar een USB 3.0 -stick. Zie mijn tutorial op Tutorial: Speed up your apps/containers by symbolic linking folder to your external USB-drive : qnap of https://forum.qnap.com/viewtopic.php?p=853613
Ook heb ik de SWAP partitie verplaatst naar USB-stick (zie onderaan de tutorial hoe en wat). Nu is mijn HA en Emby echt super responsief.

[Reactie gewijzigd door Bliksem B op 23 juli 2024 09:18]

Faeron @Bliksem B6 november 2023 18:56
Of Orb (https://gitlab.com/hsleisink/orb), een gebruiksvriendelijke web desktop.
vinkjb 6 november 2023 20:03
Voor mijn gevoel mis ik ergens een spatie.

commandinjectionkwetsbaarheden
P_Tingen @vinkjb7 november 2023 11:05
Kudos voor @sabineschults want het is 100% correct:
https://onzetaal.nl/taall...derlandse-samenstellingen
-=bas=- @vinkjb7 november 2023 00:54
Ook overdwars past dit woord niet op het Scrabble bord. :|
Had zeker wel 5x woordwaarde opgeleverd.
MiesvanderLippe 6 november 2023 18:15
Zowel QNAP als Synology hebben semi-regelmatig dit soort problemen. Ik snap dat die software complex is, maar ik vind de code waar de problemen uit voorkomen er vaak erg rommelig uit zien. Zou het zelf alleen met een whitelist / VPN gebruiken maar dat neemt wel veel flexibiliteit weg.
Craysv2 @MiesvanderLippe6 november 2023 18:29
bij qnap zie ik dit regelmatig. synology niet echt.
Travelan @Craysv26 november 2023 19:11
Mwoa, Synology is er ook níét bepaald vies van: https://www.cvedetails.co...or_id-11138/Synology.html

Het komt alleen iets minder vaak in het nieuws, of je dat een goed ding vindt of niet…
GoBieN-Be @Travelan6 november 2023 20:10
Ik denk niet dat er in het laatste jaar nog een CVE was met hoge score (9+) voor Synology NAS. Toch niet in de core DSM software.
Ik gebruik Synology NAS regelmatig, dus mijn mening is biased, maar de software lijkt toch iets hogere kwaliteit.

[Reactie gewijzigd door GoBieN-Be op 23 juli 2024 09:18]

Nees @GoBieN-Be8 november 2023 01:57
Je kan dit perfect zien op die link, Synology had er dan meer dan QNAP voorlopig in 2023
GoBieN-Be @Nees8 november 2023 09:34
Ik zag op die link er niet direct voor DSM.
Ik zag enkele voor Synology Routers en enkele voor een DSM addon.
magician2000 @Craysv26 november 2023 21:51
Waarbij je je af moet vragen of dat wel zo goed is, dat je dit bij Synology niet ziet. Wellicht zijn de kwetsbaarheden er wel, maar besteden ze er weinig aandacht aan?

Dit soort kant en klaar systemen heb ik het zelf niet meer zo op tegenwoordig. Nogal wat risico's voor wat betreft de richting die zo'n fabrikant plotseling op kunnen gaan.
beerse
@MiesvanderLippe7 november 2023 16:05
Misschien kan je ook zeggen dat qnap en synology dit soort zaken regelmatig melden en patchen.
Als je naar de open-nas-software hier op tweakers kijkt, dan zie je dat ook die regelmatig en onregelmatig wordt bijgewerkt.

Volgens mij zijn er meer nas-systemen en nas-merken op de markt (geweest). Ik herinner mij iets van Western-Digital of freecom of zo iets. Een zoekopdracht in de pricewatch levert ook de merken asustor, netgear en zyxel. Daarvan hoor ik niet dat de firmware of zo wordt bijgewerkt, al kan dat natuurlijk selective attentie zijn voor mij als qnap gebruiker/eigenaar.
quannah 6 november 2023 18:33
Blij dat ik OpenMediaVault op mn QNAP heb gezet ;)
CaptainKansloos @quannah6 november 2023 19:34
Ook OpenMediaVault heeft in het verleden een aantal critical CVE's gehad. Ik denk dat de install base van QNAP ook gewoon groter is, de code wss behoorlijk wat complexer (basis functionaliteit OpenMediaVault vs QTS) en daarmee het risico op ernstige lekken gewoon groter. En potentieel meer onder een vergrootglas. Dat maakt OpenMediaVault niet persé beter of slechter in dit opzicht.
Anoniem: 1301524 7 november 2023 10:14
Draait QNAP nog steeds altijd alles als root? Echt een security nachtmerrie dat OS.
beerse
7 november 2023 16:24
eehh... Niet om het een of ander maar de benodigde patches voor de ene vulnerability zijn in jun 2023 al uitgebracht en die voor de andere vulnerability al in april. Iemand die (zoals ik) regelmatig de software bijwerkt is dus al veilig.

Aan de andere kant mis ik ergens wel wat detail informatie: Wat is het issue geweest? Welke app/functie was vatbaar? Had ik daar last van gehad? Uiteindelijk denk ik van niet, de qnap 419 (uit 2010) is afgelopen zomer bijgewerkt. En ze is niet aan internet verbonden, daar heeft ze al tijden de leeftijd (en functie) niet meer voor..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq