Alert GCSA-25037 - Vulnerabilita' nei NAS QNAP
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25037
data: 14 marzo 2025
titolo: Vulnerabilita' nei NAS QNAP
******************************************************************
:: Descrizione del problema
QNAP ha rilasciato nuove versioni dei propri prodotti
con cui risolve varie vulnerabilita'.
I device di questo tipo non dovrebbero essere esposti direttamente ad Internet,
ma essere raggiungibili solo via VPN, per impedire lo sfruttamento da remoto
di possibili vulnerabilita' o misconfiguration.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Dispositivi interessati
File Station 5.5.x versioni anteriori alla 5.5.6.4741
HBS 3 Hybrid Backup Sync 25.1.x versioni anteriori alla 25.1.4.952
Helpdesk 3.3.x versioni anteriori alla 3.3.3
Qfinder Pro Mac 7.11.x versioni anteriori alla 7.11.1
Qsync Client 5.1.x versioni anteriori alla 5.1.3 per Mac
QTS 4.5.x versioni anteriori alla 4.5.4.2957 build 20241119
QTS 5.1.x versioni anteriori alla 5.1.9.2954 build 20241120
QTS 5.2.x versioni anteriori alla 5.2.3.3006 build 20250108
QuLog Center 1.7.x versioni anteriori alla 1.7.0.829
QuLog Center 1.8.x versioni anteriori alla 1.8.0.888
QuRouter 2.4.x versioni anteriori alla 2.4.6.028
QuTS hero h4.5.x versioni anteriori alla h4.5.4.2956 build 20241119
QuTS hero h5.1.x versioni anteriori alla h5.1.9.2954 build 20241120
QuTS hero h5.2.x versioni anteriori alla h5.2.3.3006 build 20250108
QVPN Device Client 2.2.x versioni anteriori alla 2.2.5 per Mac
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Denial of Service (DoS)
Accesso a dati riservati (ID)
Falsificazione dei dati (Spoofing)
Attacco all'integrita' dei dati (Data Manipulation)
Bypass delle funzionalita' di sicurezza (SFB)
:: Soluzioni
Aggiornare i prodotti alle ultime versioni
https://www.qnap.com/en/security-advisory/qsa-24-51
https://www.qnap.com/en/security-advisory/qsa-24-53
https://www.qnap.com/en/security-advisory/qsa-24-52
https://www.qnap.com/en/security-advisory/qsa-24-54
https://www.qnap.com/en/security-advisory/qsa-24-55
https://www.qnap.com/en/security-advisory/qsa-25-01
https://www.qnap.com/en/security-advisory/qsa-25-03
https://www.qnap.com/en/security-advisory/qsa-25-05
https://www.qnap.com/en/security-advisory/qsa-25-06
https://www.qnap.com/en/security-advisory/qsa-25-07
:: Riferimenti
QNAP Security Advisories
https://www.qnap.com/it-it/security-advisories
Riferimenti CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZ9Q+WA0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCG6kAnj+717KzhtRdgQ2rwYQAKtIhTsGUAJ0T8/WBS2/I
MnZyjUFm24TiGexeew==
=cbCs
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25037
data: 14 marzo 2025
titolo: Vulnerabilita' nei NAS QNAP
******************************************************************
:: Descrizione del problema
QNAP ha rilasciato nuove versioni dei propri prodotti
con cui risolve varie vulnerabilita'.
I device di questo tipo non dovrebbero essere esposti direttamente ad Internet,
ma essere raggiungibili solo via VPN, per impedire lo sfruttamento da remoto
di possibili vulnerabilita' o misconfiguration.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Dispositivi interessati
File Station 5.5.x versioni anteriori alla 5.5.6.4741
HBS 3 Hybrid Backup Sync 25.1.x versioni anteriori alla 25.1.4.952
Helpdesk 3.3.x versioni anteriori alla 3.3.3
Qfinder Pro Mac 7.11.x versioni anteriori alla 7.11.1
Qsync Client 5.1.x versioni anteriori alla 5.1.3 per Mac
QTS 4.5.x versioni anteriori alla 4.5.4.2957 build 20241119
QTS 5.1.x versioni anteriori alla 5.1.9.2954 build 20241120
QTS 5.2.x versioni anteriori alla 5.2.3.3006 build 20250108
QuLog Center 1.7.x versioni anteriori alla 1.7.0.829
QuLog Center 1.8.x versioni anteriori alla 1.8.0.888
QuRouter 2.4.x versioni anteriori alla 2.4.6.028
QuTS hero h4.5.x versioni anteriori alla h4.5.4.2956 build 20241119
QuTS hero h5.1.x versioni anteriori alla h5.1.9.2954 build 20241120
QuTS hero h5.2.x versioni anteriori alla h5.2.3.3006 build 20250108
QVPN Device Client 2.2.x versioni anteriori alla 2.2.5 per Mac
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Denial of Service (DoS)
Accesso a dati riservati (ID)
Falsificazione dei dati (Spoofing)
Attacco all'integrita' dei dati (Data Manipulation)
Bypass delle funzionalita' di sicurezza (SFB)
:: Soluzioni
Aggiornare i prodotti alle ultime versioni
https://www.qnap.com/en/security-advisory/qsa-24-51
https://www.qnap.com/en/security-advisory/qsa-24-53
https://www.qnap.com/en/security-advisory/qsa-24-52
https://www.qnap.com/en/security-advisory/qsa-24-54
https://www.qnap.com/en/security-advisory/qsa-24-55
https://www.qnap.com/en/security-advisory/qsa-25-01
https://www.qnap.com/en/security-advisory/qsa-25-03
https://www.qnap.com/en/security-advisory/qsa-25-05
https://www.qnap.com/en/security-advisory/qsa-25-06
https://www.qnap.com/en/security-advisory/qsa-25-07
:: Riferimenti
QNAP Security Advisories
https://www.qnap.com/it-it/security-advisories
Riferimenti CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZ9Q+WA0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCG6kAnj+717KzhtRdgQ2rwYQAKtIhTsGUAJ0T8/WBS2/I
MnZyjUFm24TiGexeew==
=cbCs
-----END PGP SIGNATURE-----