El fabricante de dispositivos de almacenamiento conectado a la red (NAS) QNAP advirtió el lunes sobre una vulnerabilidad de Linux recientemente revelada que afecta a sus dispositivos y que podría ser abusada para elevar los privilegios y obtener el control de los sistemas afectados.
“Se informó que una vulnerabilidad de escalada de privilegios local, también conocida como ‘Dirty Pipe’, afecta el kernel de Linux en el NAS de QNAP que ejecuta QTS 5.0.x y QuTS hero h5.0.x”, dijo la compañía. dijo. “Si se explota, esta vulnerabilidad permite que un usuario sin privilegios obtenga privilegios de administrador e inyecte código malicioso”.
La firma taiwanesa dijo que continúa investigando minuciosamente investigar su línea de productos por la vulnerabilidad y que no hay ningún NAS de QNAP que ejecute QTS 4.x son inmunes a la falla de Dirty Pipe.
Registrado como CVE-2022-0847 (puntaje CVSS: 7.8), la deficiencia reside en el kernel de Linux que podría permitir que un atacante sobrescriba datos arbitrarios en cualquier archivo de solo lectura y permitir una toma de control completa de las máquinas vulnerables.
Desde entonces, el problema se solucionó en las versiones de Linux 5.16.11, 5.15.25 y 5.10.102 a partir del 23 de febrero de 2022, tres días después de que se informara al equipo de seguridad del kernel de Linux.
“Actualmente no hay mitigación disponible para esta vulnerabilidad”, agregó la compañía. “Recomendamos a los usuarios que vuelvan a consultar e instalen las actualizaciones de seguridad tan pronto como estén disponibles”.