La empresa taiwanesa QNAP reveló esta semana que un número seleccionado de sus dispositivos de almacenamiento conectado a la red (NAS) se ven afectados por un error recientemente revelado en la biblioteca criptográfica OpenSSL de código abierto.
«Se informó que una vulnerabilidad de bucle infinito en OpenSSL afecta a ciertos NAS de QNAP», dijo la compañía. dijo en un aviso publicado el 29 de marzo de 2022. «Si se explota, la vulnerabilidad permite a los atacantes realizar ataques de denegación de servicio».
Registrado como CVE-2022-0778 (puntuación CVSS: 7,5), el problema se relaciona con un error que surge al analizar los certificados de seguridad para desencadenar una condición de denegación de servicio y bloquear de forma remota los dispositivos sin parchear.
QNAP, que actualmente está investigando su línea, dijo que afecta a las siguientes versiones del sistema operativo:
- QTS 5.0.x y posterior
- QTS 4.5.4 y posterior
- QTS 4.3.6 y posterior
- QTS 4.3.4 y posterior
- QTS 4.3.3 y posterior
- QTS 4.2.6 y posterior
- QuTS hero h5.0.x y posterior
- QuTS hero h4.5.4 y posterior, y
- QuTScloud c5.0.x
Hasta la fecha, no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza. Aunque el Equipo de Respuesta a Incidentes de Seguridad Informática de Italia (CSIRT) lanzó un aviso por el contrario, el 16 de marzo, la agencia aclaró a The Hacker News que ha «actualizado la alerta con una corrección de erratas».
El aviso llega una semana después de que QNAP publicara actualizaciones de seguridad para QuTS hero (versión h5.0.0.1949 compilación 20220215 y posteriores) para abordar la falla de escalada de privilegios local «Dirty Pipe» que afecta a sus dispositivos. Se espera que pronto se lancen parches para los sistemas operativos QTS y QuTScloud.