Af Eskil Sørensen, 25/04/22
QNAP har bedt kunder om at implementere afbødende foranstaltninger for at blokere forsøg på at udnytte Apache HTTP Server sårbarheder. Sårbarheder, der påvirker deres netværkstilsluttede lagringsenheder (NAS). Det skriver Bleeping Computer.
Fejlene med id-numrene CVE-2022-22721 og CVE-2022-23943 betegnes som kritiske med en basisscore på 9,8/10 for alvorlighedsgrad og indvirkningssystemer, der kører Apache HTTP Server 2.4.52 og tidligere.
Fejlene kan udnyttes udefra, uden at det kræver brugerinteraktion. Altså i angreb med lav kompleksitet, som det hedder.
Det fremgår af QNAPs meddelelse, at fejlene pt. undersøges, og at sikkerhedsopdateringer planlægges frigivet i den nærmeste fremtid.
Indtil patches er tilgængelige, råder QNAP kunder til at beholde standardværdien "1M" for LimitXMLRequestBody for at afbøde CVE-2022-22721-angreb og deaktivere mod_sed som CVE-2022-23943-reduktion.
QNAP arbejder også på sikkerhedsopdateringer for at adressere en Linux-sårbarhed af høj alvorlighed. Denne kaldes 'Dirty Pipe', og den gør det muligt for angribere med lokal adgang at få root-privilegier.
NAS-enheder, der kører flere versioner af QTS, QuTS hero og QuTScloud, er også påvirket af en alvorlig OpenSSL-fejl, som trusselsaktører kan udnytte til at udløse denial of service (DoS).
Mens Dirty Pipe-fejlen mangler at blive rettet for enheder, der kører QuTScloud c5.0.x, har QNAP endnu ikke udgivet patches til OpenSSL DoS-fejlen. Kunder blev advaret om denne fejl for tre uger siden.
QNAO oplyser ifølge Bleeping Computer, at der ikke er nogen afbødning af disse to sårbarheder tilgænglig, hvorfor kunderne anbefales at ’vende tilbage og installerer sikkerhedsopdateringer, så snart de bliver tilgængelige.’
Links:
https://www.bleepingcomputer.com/news/security/qnap-asks-users-to-mitigate-critical-apache-http-server-bugs/
https://www.qnap.com/en/security-advisory/QSA-22-11