QNAP avertit qu’un bug OpenSSL grave affecte la plupart de ses appareils NAS

QNAP

Le fabricant taïwanais de stockage en réseau (NAS) QNAP a averti mardi que la plupart de ses périphériques NAS sont touchés par un bug OpenSSL de haute gravité divulgué il y a deux semaines.

Les attaquants peuvent exploiter la vulnérabilité, suivie comme CVE-2022-0778pour déclencher un état de déni de service et bloquer à distance les appareils non corrigés.

Bien qu’un correctif ait été publié il y a deux semaines lorsque le bug a été rendu public, QNAP a expliqué que ses clients devraient attendre que l’entreprise publie ses propres mises à jour de sécurité.

Il a également exhorté les clients à installer tous les correctifs de sécurité qu’il publie dès qu’ils sont publiés pour bloquer les attaques potentielles.

« Une vulnérabilité de boucle infinie dans OpenSSL a été signalée comme affectant certains NAS QNAP. Si elle est exploitée, la vulnérabilité permet aux attaquants de mener des attaques par déni de service », QNAP mentionné.

« Actuellement, aucune atténuation n’est disponible pour cette vulnérabilité. Nous recommandons aux utilisateurs de vérifier et d’installer les mises à jour de sécurité dès qu’elles sont disponibles. »

La société affirme que la faille de sécurité affecte les appareils exécutant plusieurs versions de QTS, QuTS hero et QuTScloud, notamment :

  • QTS 5.0.x et versions ultérieures
  • QTS 4.5.4 et versions ultérieures
  • QTS 4.3.6 et versions ultérieures
  • QTS 4.3.4 et versions ultérieures
  • QTS 4.3.3 et versions ultérieures
  • QTS 4.2.6 et versions ultérieures
  • QuTS hero h5.0.x et versions ultérieures
  • QuTS hero h4.5.4 et versions ultérieures
  • QuTScloud c5.0.x

Même si l’équipe OpenSSL a déclaré à EZpublish-france.fr qu’elle n’était pas au courant de l’exploitation active de CVE-2022-0778, un avis de sécurité émis par l’agence nationale italienne de cybersécurité, CSIRT, l’a étiqueté comme étant maltraité à l’état sauvage.

« La faille n’est pas trop difficile à exploiter, mais l’impact est limité au DoS. Le scénario le plus courant où l’exploitation de cette faille serait un problème serait qu’un client TLS accède à un serveur malveillant qui délivre un certificat problématique », a déclaré un Le porte-parole d’OpenSSL a déclaré à EZpublish-france.fr.

« Les serveurs TLS peuvent être affectés s’ils utilisent l’authentification client (qui est une configuration moins courante) et qu’un client malveillant tente de s’y connecter. Il est difficile de deviner dans quelle mesure cela se traduira par une exploitation active. »

Bien qu’il existe des informations mitigées concernant l’exploitation en cours, les acteurs de la menace pourraient probablement développer un exploit utilisable et le déployer dans des attaques s’ils trouvent des cibles attrayantes pour les périphériques NAS, d’autant plus qu’ils peuvent exploiter la faille dans des attaques de faible complexité sans interaction de l’utilisateur.

QNAP travaille également sur la correction des failles de sécurité laissées par une faille de sécurité Linux de haute gravité appelée Dirty Pipe, permettant aux pirates disposant d’un accès local d’obtenir des privilèges root sur les appareils exécutant QTS 5.0.x, QuTScloud c5.0.x et QuTS hero h5. .0.x.

Depuis l’avertissement initial d’il y a deux semaines, QNAP a corrigé le bug Dirty Pipe pour les appareils exécutant QuTS hero h5.0.0.1949 build 20220215 et versions ultérieures et promis publier des correctifs pour QTS et QuTScloud dès que possible.