-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Netatalk
Advisory ID     : NCSC-2022-0308
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2021-31439, CVE-2022-0194, CVE-2022-23121,
                  CVE-2022-23122, CVE-2022-23123, CVE-2022-23124,
                  CVE-2022-23125
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Administrator/Root rechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20220428
Toepassing      : Netatalk
                  QNAP QTS
                  Synology DiskStation Manager
                  Synology Router Manager
Versie(s)       :
Platform(s)     :

Beschrijving
   Er zijn kwetsbaarheden verholpen in Netatalk. Netatalk is een
   open-source protocol die het mogelijk maakt dat Unix-systemen kunnen
   communiceren met Apple-systemen. Netatalk maakt gebruik van het
   Apple Filing Protocol, de gevonden kwetsbaarheden zitten in dit
   protocol. De kwetsbaarheden stellen een ongeauthenticeerde
   kwaadwillende op afstand in staat om gevoelige gegevens te
   verkrijgen of willekeurige code uit te voeren onder root-rechten.

   De kwetsbaarheid met kenmerk CVE-2022-23121 is door onderzoekers van
   NCC Group gedemonstreerd op Pwn2Own. NCC Group heeft over deze
   kwetsbaarheid een uitgebreide blogpost geschreven. NCC Group heeft
   voor deze kwetsbaarheid Proof-of-Concept code beschikbaar. Voor meer
   informatie, zie:

   https://research.nccgroup.com/2022/03/24
      /remote-code-execution-on-western-digital-pr4100-nas-cve-2022-231
      21/

Mogelijke oplossingen
   -= Netatalk =-
   De ontwikkelaars van Netatalk hebben updates uitgebracht om de
   kwetsbaarheden te verhelpen. Meer informatie kunt u vinden op
   onderstaande pagina:

   https://netatalk.sourceforge.io/3.1/ReleaseNotes3.1.13.html

   -= QNAP =-
   QNAP heeft voor QTS 4.5.4.2012 build 20220419 en later updates
   uitgebracht om de kwetsbaarheden te verhelpen. Voor de andere
   versies zijn op dit moment nog geen updates beschikbaar. QNAP geeft
   aan dat deze kwetsbaarheden kunnen worden gemitigeerd door AFP uit
   te zetten. Zie voor meer informatie het beveiligingsadvies van QNAP:

   https://www.qnap.com/en/security-advisory/qsa-22-12

   -= Synology =-
   Synology heeft voor DSM 7.1 updates uitgebracht om de kwetsbaarheden
   te verhelpen. Voor de andere versies zijn nog geen updates
   beschikbaar. Synology geeft aan dat als klanten direct hulp nodig
   hebben, zij Synology kunnen benaderen. Zie voor meer informatie het
   beveiligingsadvies van Synology:

   https://www.synology.com/en-global/security/advisory
      /Synology_SA_22_06

   -= Mitigerende maatregelen algemeen =-
   AFP is sinds Big Sur niet meer ondersteund door Apple. Als u gebruik
   maakt van een nieuwere versie van macOS kunt u AFP uitschakelen op
   uw NAS-systeem. Op de kwetsbare QNAP en Synology systemen staat AFP
   niet standaard ingeschakeld. Het NCSC adviseert om dergelijke
   NAS-systemen niet via het internet te ontsluiten.

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=2bcH
-----END PGP SIGNATURE-----