QNAP a demandé à ses clients d’appliquer des mesures d’atténuation pour bloquer les tentatives d’exploitation des vulnérabilités de sécurité du serveur HTTP Apache affectant leurs périphériques de stockage en réseau (NAS).
Les défauts (suivis comme CVE-2022-22721 et CVE-2022-23943) ont été marqués comme critiques avec des scores de base de gravité de 9,8/10 et impactent les systèmes exécutant Apache HTTP Server 2.4.52 et versions antérieures.
Comme l’a révélé l’évaluation des analystes de NVD [1, 2]les attaquants non authentifiés peuvent exploiter les vulnérabilités à distance dans des attaques de faible complexité sans nécessiter d’interaction de l’utilisateur.
QNAP enquête actuellement sur les deux bugs de sécurité et prévoit de publier des mises à jour de sécurité dans un avenir proche.
« CVE-2022-22721 affecte les modèles de NAS QNAP 32 bits et CVE-2022-23943 affecte les utilisateurs qui ont activé mod_sed dans Apache HTTP Server sur leur appareil QNAP », a déclaré le fabricant de NAS basé à Taïwan. expliqué.
« Nous enquêtons en profondeur sur les deux vulnérabilités qui affectent les produits QNAP et publierons des mises à jour de sécurité dès que possible. »
Pas encore de correctifs mais atténuation disponible
Jusqu’à ce que des correctifs soient disponibles, QNAP conseille aux clients de conserver la valeur par défaut « 1M » pour LimitXMLRequestBody afin d’atténuer les attaques CVE-2022-22721 et de désactiver mod_sed comme atténuation CVE-2022-23943.
La société note également que le filtre de contenu in-process mod_sed est désactivé par défaut dans Apache HTTP Server sur les appareils NAS exécutant le système d’exploitation QTS.
QNAP travaille également sur des mises à jour de sécurité pour résoudre une vulnérabilité Linux de haute gravité appelée « Dirty Pipe » qui permet aux attaquants disposant d’un accès local d’obtenir des privilèges root.
Les appareils NAS exécutant plusieurs versions de QTS, QuTS hero et QuTScloud sont également affectés par un bug OpenSSL de grande gravité que les pirates peuvent exploiter pour déclencher des états de déni de service (DoS) et planter à distance des appareils vulnérables.
Alors que le bug Dirty Pipe reste à corriger pour les appareils exécutant QuTScloud c5.0.x, QNAP n’a pas encore publié de correctifs pour la faille OpenSSL DoS, il a averti les clients il y a trois semaines.
La société affirme qu’il n’existe aucune atténuation pour ces deux vulnérabilités et recommande aux clients de « vérifier et d’installer les mises à jour de sécurité dès qu’elles sont disponibles ».