Tayvanlı QNAP şirketi bu hafta, ağa bağlı depolama (NAS) cihazlarının seçilmiş bir kısmının açık kaynaklı OpenSSL kriptografik kitaplığında yakın zamanda açıklanan bir hatadan etkilendiğini açıkladı.
Şirket, “OpenSSL’deki sonsuz döngü güvenlik açığının belirli QNAP NAS’ı etkilediği bildirildi.” dedim 29 Mart 2022’de yayınlanan bir danışma belgesinde. “Bu güvenlik açığından yararlanılırsa, saldırganların hizmet reddi saldırıları gerçekleştirmesine olanak tanır.”
CVE-2022-0778 (CVSS puanı: 7.5) olarak izlenen sorun, hizmet reddi durumunu tetiklemek ve yama uygulanmamış cihazları uzaktan çökertmek için güvenlik sertifikaları ayrıştırılırken ortaya çıkan bir hatayla ilgilidir.
Şu anda ürün grubunu araştıran QNAP, aşağıdaki işletim sistemi sürümlerini etkilediğini söyledi:
- QTS 5.0.x ve üstü
- QTS 4.5.4 ve üstü
- QTS 4.3.6 ve üstü
- QTS 4.3.4 ve üstü
- QTS 4.3.3 ve üstü
- QTS 4.2.6 ve üstü
- QuTS hero h5.0.x ve üstü
- QuTS hero h4.5.4 ve üstü ve
- QuTScloud c5.0.x
Bugüne kadar, güvenlik açığının vahşi doğada istismar edildiğine dair bir kanıt yok. İtalya’nın Bilgisayar Güvenliği Olay Müdahale Ekibi (CSIRT) bir tavsiye yayınladı Aksine, 16 Mart’ta ajans The Hacker News’e “uyarıyı bir hata düzeltmesi ile güncellediğini” açıkladı.
Danışmanlık, QNAP’ın, cihazlarını etkileyen “Dirty Pipe” yerel ayrıcalık yükseltme kusurunu ele almak için QuTS kahramanı (sürüm h5.0.0.1949 build 20220215 ve üstü) için güvenlik güncellemeleri yayınlamasından bir hafta sonra gelir. QTS ve QuTScloud işletim sistemleri için yamaların yakında piyasaya sürülmesi bekleniyor.