QNAP waarschuwt voor OpenSSL Infinite Loop-kwetsbaarheid voor NAS-apparaat

OpenSSL Infinite Loop Kwetsbaarheid Nachrichten

Het Taiwanese bedrijf QNAP heeft deze week onthuld dat een geselecteerd aantal van zijn Network-Attached Storage (NAS)-apparaten is getroffen door een onlangs onthulde bug in de open-source OpenSSL-cryptografische bibliotheek.

“Er is gemeld dat een oneindige lus-kwetsbaarheid in OpenSSL van invloed is op bepaalde QNAP NAS”, aldus het bedrijf zei in een advies gepubliceerd op 29 maart 2022. “Indien misbruikt, stelt de kwetsbaarheid aanvallers in staat om denial-of-service-aanvallen uit te voeren.”

Bijgehouden als CVE-2022-0778 (CVSS-score: 7,5), heeft het probleem betrekking op een bug die optreedt bij het parseren van beveiligingscertificaten om een ​​denial-of-service-conditie te activeren en op afstand ongepatchte apparaten te laten crashen.

QNAP, dat momenteel de line-up aan het onderzoeken is, zei dat het van invloed is op de volgende versies van het besturingssysteem:

  • QTS 5.0.x en hoger
  • QTS 4.5.4 en hoger
  • QTS 4.3.6 en hoger
  • QTS 4.3.4 en hoger
  • QTS 4.3.3 en hoger
  • QTS 4.2.6 en hoger
  • QuTS hero h5.0.x en hoger
  • QuTS hero h4.5.4 en hoger, en
  • QuTScloud c5.0.x

Tot op heden is er geen bewijs dat de kwetsbaarheid in het wild is uitgebuit. Hoewel het Italiaanse Computer Security Incident Response Team (CSIRT) een advies uitgebracht integendeel, op 16 maart verduidelijkte het bureau aan The Hacker News dat het “de waarschuwing heeft bijgewerkt met een errata-corrige”.

Het advies komt een week nadat QNAP beveiligingsupdates heeft uitgebracht voor QuTS hero (versie h5.0.0.1949 build 20220215 en later) om de lokale privilege-escalatiefout van de “Dirty Pipe” aan te pakken die van invloed is op zijn apparaten. Patches voor QTS- en QuTScloud-besturingssystemen zullen naar verwachting binnenkort worden uitgebracht.

David
Rate author
Hackarizona