In NAS-Geräten (Network-Attached Storage) von QNAP wurden neue Sicherheitslücken entdeckt, bestätigte das Unternehmen.
Wie von BleepingComputer berichtet, erhielten die als CVE-2022-22721 und CVE-2022-23943 verfolgten Schwachstellen einen Schweregrad von 9.8/10. Die in Apache HTTP Server 2.4.52 und früher entdeckten Fehler können verwendet werden, um Angriffe mit geringer Komplexität durchzuführen, die keine Interaktion mit dem Opfer erfordern.
QNAP hat NAS-Besitzern geraten, die bekannten Abhilfemaßnahmen anzuwenden, da ein vollständiger Fix noch nicht verfügbar ist.
Mitigation verfügbar, Fix ausstehend
„Wir untersuchen die beiden Schwachstellen, die QNAP-Produkte betreffen, umfassend und werden so schnell wie möglich Sicherheitsupdates veröffentlichen“, sagte das Unternehmen.
„CVE-2022-22721 betrifft 32-Bit-QNAP-NAS-Modelle und CVE-2022-23943 betrifft Benutzer, die mod_sed im Apache HTTP Server auf ihrem QNAP-Gerät aktiviert haben.“
Bis eine vollständige Fehlerbehebung vorliegt, empfahl QNAP seinen Kunden, die Standardeinstellung „1M“ für LimitXMLRequestBody beizubehalten und mod_sed zu deaktivieren, da beides effektiv Lücken stopft.
QNAP gab außerdem an, dass der In-Process-Inhaltsfilter mod_sed auf dem Apache-HTTP-Server auf NAS-Geräten, auf denen das QTS-Betriebssystem ausgeführt wird, standardmäßig deaktiviert ist.
In derselben Ankündigung gab QNAP bekannt, dass es hart daran arbeitet, „Dirty Pipe“, eine kürzlich entdeckte hochschwere Linux-Sicherheitslücke, zu beheben.
Dirty Pipe betrifft NAS-Geräte, auf denen mehrere Versionen von QTS, QuTS Hero und QuTScloud ausgeführt werden, und ermöglicht Angreifern, Denial-of-Service-Angriffe (DoS) aus der Ferne auszulösen oder Terminals zu sperren.
Das Linux-Kernel-Team hat Dirty Pipe repariert, sobald seine Existenz bestätigt wurde. Für alle betroffenen Linux-Versionen wurde ein Sicherheitsupdate ausgerollt, Google hat auch das Android-Betriebssystem aktualisiert.
Wenn anfällige Systeme nicht gepatcht werden, kann ein Angreifer Dirty Pipe ausnutzen, um die vollständige Kontrolle über betroffene Computer und Smartphones zu erlangen. Mit diesem Zugriff könnten sie die privaten Nachrichten der Benutzer lesen, Bankanwendungen kompromittieren und vieles mehr.
Über BleepingComputer