Lundi, le fabricant d’appareils de stockage en réseau (NAS) QNAP a mis en garde contre une vulnérabilité Linux récemment révélée affectant ses appareils qui pourrait être exploitée pour élever les privilèges et prendre le contrôle des systèmes concernés.
« Une vulnérabilité d’escalade de privilèges locale, également connue sous le nom de » Dirty Pipe « , a été signalée comme affectant le noyau Linux sur QNAP NAS exécutant QTS 5.0.x et QuTS hero h5.0.x », a déclaré la société. mentionné. « Si elle est exploitée, cette vulnérabilité permet à un utilisateur non privilégié d’obtenir des privilèges d’administrateur et d’injecter du code malveillant. »
La société taïwanaise a déclaré qu’elle continuait à enquêter sur sa gamme de produits pour la vulnérabilité et qu’il n’y a pas de NAS QNAP exécutant QTS 4.x sont à l’abri de la faille Dirty Pipe.
Suivi comme CVE-2022-0847 (score CVSS : 7,8), la lacune réside dans le noyau Linux qui pourrait permettre à un attaquant d’écraser des données arbitraires dans n’importe quel fichier en lecture seule et permettre une prise de contrôle complète des machines vulnérables.
Le problème a depuis été résolu dans les versions Linux 5.16.11, 5.15.25 et 5.10.102 au 23 février 2022, trois jours après avoir été signalé à l’équipe de sécurité du noyau Linux.
« Actuellement, il n’y a pas d’atténuation disponible pour cette vulnérabilité », a ajouté la société. « Nous recommandons aux utilisateurs de vérifier et d’installer les mises à jour de sécurité dès qu’elles sont disponibles. »