QNAP предупреждава за сериозна грешка в OpenSSL засягаща NAS устройства – 31.03.2022

Производителя на мрежово хранилище (NAS) QNAP предупреди, че повечето от устройствата NAS са засегнати от голяма грешка в OpenSSL, разкрита преди няколко седмици.

Нападателите могат да се възползват от уязвимостта, проследявана като CVE-2022-0778, за да предизвикат състояние на отказ на услуга и дистанционно да сринат незащитени устройства.

Въпреки, че беше пуснат бъг, когато грешката беше публично разкрита, QNAP обясни, че клиентите му ще трябва да изчакат, докато компанията пусне свои собствени актуализации за сигурност.

Също така клиентите бяха призовани да инсталират всички пачове за сигурност, които се публикуват, за да се предпазят от евентуални атаки

От компанията съобщават, че недостатъкът в сигурността засяга устройства, работещи с множество версии на QTS, QuTS hero и QuTScloud, включително:

  • QTS 5.0.x and later
  • QTS 4.5.4 and later
  • QTS 4.3.6 and later
  • QTS 4.3.4 and later
  • QTS 4.3.3 and later
  • QTS 4.2.6 and later
  • QuTS hero h5.0.x and later
  • QuTS hero h4.5.4 and later
  • QuTScloud c5.0.x

QNAP работи върху закърпването на дупките в сигурността, наречен Dirty Pipe, което позволява на участниците в заплахите с локален достъп да получат root привилегии на устройства, работещи с QTS 5.0.x, QuTScloud c5.0.x и QuTS hero h5 .0.x

След първоначалното предупреждение от преди две седмици, QNAP поправи грешката Dirty Pipe за устройства, работещи с QuTS hero h5.0.0.1949 build 20220215 и обеща да пусне пачове за QTS и QuTScloud възможно най-скоро.

За повече информация:

https://www.bleepingcomputer.com/news/security/qnap-warns-severe-openssl-bug-affects-most-of-its-nas-devices/