Ağa bağlı depolama (NAS) cihazı üreticisi QNAP Pazartesi günü, cihazlarını etkileyen ve ayrıcalıkları yükseltmek ve etkilenen sistemlerin kontrolünü ele geçirmek için kötüye kullanılabilecek yakın zamanda açıklanan bir Linux güvenlik açığı konusunda uyardı.
Şirket, “‘Dirty Pipe’ olarak da bilinen yerel bir ayrıcalık yükseltme güvenlik açığının, QTS 5.0.x ve QuTS hero h5.0.x çalıştıran QNAP NAS üzerindeki Linux çekirdeğini etkilediği bildirildi.” dedim. “Bu güvenlik açığından yararlanılırsa, ayrıcalığı olmayan bir kullanıcının yönetici ayrıcalıkları kazanmasına ve kötü amaçlı kod enjekte etmesine olanak tanır.”
Tayvanlı firma kapsamlı bir şekilde devam ettiğini söyledi. ürün hattını araştırmak güvenlik açığı ve QTS 4.x çalıştıran hiçbir QNAP NAS’ın olmaması, Dirty Pipe hatasına karşı bağışıktır.
CVE-2022-0847 (CVSS puanı: 7.8) olarak izlenen eksiklik, bir saldırganın herhangi bir salt okunur dosyaya rastgele verilerin üzerine yazmasına ve savunmasız makinelerin tamamen ele geçirilmesine izin verebilecek Linux çekirdeğinde yatmaktadır.
Sorun, Linux çekirdek güvenlik ekibine bildirildikten üç gün sonra 23 Şubat 2022 itibarıyla Linux 5.16.11, 5.15.25 ve 5.10.102 sürümlerinde düzeltildi.
Şirket, “Şu anda bu güvenlik açığı için bir azaltma mevcut değil” diye ekledi. “Kullanıcıların güvenlik güncellemelerini kullanıma sunulur sunulmaz tekrar kontrol etmelerini ve yüklemelerini öneririz.”