La société taïwanaise QNAP a révélé cette semaine qu’un certain nombre de ses appliances de stockage en réseau (NAS) sont affectées par un bogue récemment divulgué dans la bibliothèque cryptographique open source OpenSSL.
« Une vulnérabilité de boucle infinie dans OpenSSL a été signalée comme affectant certains NAS QNAP », a déclaré la société. mentionné dans un avis publié le 29 mars 2022. « Si elle est exploitée, la vulnérabilité permet aux attaquants de mener des attaques par déni de service. »
Suivi en tant que CVE-2022-0778 (score CVSS : 7,5), le problème concerne un bogue qui survient lors de l’analyse des certificats de sécurité pour déclencher une condition de déni de service et planter à distance des appareils non corrigés.
QNAP, qui enquête actuellement sur sa gamme, a déclaré que cela affectait les versions de système d’exploitation suivantes –
- QTS 5.0.x et versions ultérieures
- QTS 4.5.4 et versions ultérieures
- QTS 4.3.6 et versions ultérieures
- QTS 4.3.4 et versions ultérieures
- QTS 4.3.3 et versions ultérieures
- QTS 4.2.6 et versions ultérieures
- QuTS hero h5.0.x et versions ultérieures
- QuTS hero h4.5.4 et versions ultérieures, et
- QuTScloud c5.0.x
À ce jour, rien ne prouve que la vulnérabilité ait été exploitée à l’état sauvage. Bien que l’équipe italienne de réponse aux incidents de sécurité informatique (CSIRT) a publié un avis au contraire, le 16 mars, l’agence a précisé à The Hacker News qu’elle avait « mis à jour l’alerte avec un errata corrige ».
L’avis intervient une semaine après que QNAP a publié des mises à jour de sécurité pour QuTS hero (version h5.0.0.1949 build 20220215 et versions ultérieures) pour résoudre la faille d’escalade des privilèges locaux « Dirty Pipe » affectant ses appareils. Des correctifs pour les systèmes d’exploitation QTS et QuTScloud devraient être publiés prochainement.