La société taïwanaise QNAP a révélé cette semaine qu’un certain nombre de ses appliances de stockage en réseau (NAS) sont affectées par un bogue récemment divulgué dans la bibliothèque cryptographique open source OpenSSL.
“Une vulnérabilité de boucle infinie dans OpenSSL a été signalée comme affectant certains NAS QNAP”, a déclaré la société. mentionné dans un avis publié le 29 mars 2022. “Si elle est exploitée, la vulnérabilité permet aux attaquants de mener des attaques par déni de service.”
Suivi en tant que CVE-2022-0778 (score CVSS : 7,5), le problème concerne un bogue qui survient lors de l’analyse des certificats de sécurité pour déclencher une condition de déni de service et planter à distance des appareils non corrigés.
QNAP, qui enquête actuellement sur sa gamme, a déclaré que cela affectait les versions de système d’exploitation suivantes –
- QTS 5.0.x et versions ultérieures
- QTS 4.5.4 et versions ultérieures
- QTS 4.3.6 et versions ultérieures
- QTS 4.3.4 et versions ultérieures
- QTS 4.3.3 et versions ultérieures
- QTS 4.2.6 et versions ultérieures
- QuTS hero h5.0.x et versions ultérieures
- QuTS hero h4.5.4 et versions ultérieures, et
- QuTScloud c5.0.x
À ce jour, rien ne prouve que la vulnérabilité ait été exploitée à l’état sauvage. Bien que l’équipe italienne de réponse aux incidents de sécurité informatique (CSIRT) a publié un avis au contraire, le 16 mars, l’agence a précisé à The Hacker News qu’elle avait “mis à jour l’alerte avec un errata corrige”.
L’avis intervient une semaine après que QNAP a publié des mises à jour de sécurité pour QuTS hero (version h5.0.0.1949 build 20220215 et versions ultérieures) pour résoudre la faille d’escalade des privilèges locaux “Dirty Pipe” affectant ses appareils. Des correctifs pour les systèmes d’exploitation QTS et QuTScloud devraient être publiés prochainement.