Tayvan merkezli ağa bağlı depolama (NAS) üreticisi QNAP Salı günü, NAS cihazlarının çoğunun bir iki hafta önce açıklanan yüksek önemdeki OpenSSL hatası.
Saldırganlar, şu şekilde izlenen güvenlik açığından yararlanabilir: CVE-2022-0778bir hizmet reddi durumunu tetiklemek ve yama uygulanmamış cihazları uzaktan kilitlemek için.
İki hafta önce hata kamuya açıklandığında bir yama yayınlanmış olsa da QNAP, müşterilerinin şirket kendi güvenlik güncellemelerini yayınlayana kadar beklemesi gerektiğini açıkladı.
Ayrıca, olası saldırıları engellemek için müşterileri, yayınladıkları güvenlik düzeltme eklerini çıkar çıkmaz yüklemeye çağırdı.
“OpenSSL’deki sonsuz döngü güvenlik açığının belirli QNAP NAS’ı etkilediği bildirildi. Bu güvenlik açığından yararlanılırsa, saldırganların hizmet reddi saldırıları gerçekleştirmesine izin verir,” QNAP dedim.
“Şu anda bu güvenlik açığı için bir hafifletme yok. Kullanıcıların güvenlik güncellemelerini kullanıma sunulur sunulmaz tekrar kontrol etmelerini ve yüklemelerini öneririz.”
Şirket, güvenlik açığının QTS, QuTS hero ve QuTScloud’un birden çok sürümünü çalıştıran cihazları etkilediğini söylüyor:
- QTS 5.0.x ve üstü
- QTS 4.5.4 ve üstü
- QTS 4.3.6 ve üstü
- QTS 4.3.4 ve üstü
- QTS 4.3.3 ve üstü
- QTS 4.2.6 ve üstü
- QuTS hero h5.0.x ve üstü
- QuTS hero h4.5.4 ve üstü
- QuTScloud c5.0.x
OpenSSL ekibi BleepingComputer’a CVE-2022-0778’in aktif kullanımından haberdar olmadıklarını söylese de, İtalya’nın ulusal siber güvenlik ajansı CSIRT tarafından yayınlanan bir güvenlik tavsiyesi, bunu şu şekilde etiketledi: vahşi doğada istismar.
“Zayıftan yararlanmak çok zor değil, ancak etki DoS ile sınırlı. Bu kusurdan yararlanmanın sorun olacağı en yaygın senaryo, sorunlu bir sertifika sunan kötü niyetli bir sunucuya erişen bir TLS istemcisi için olabilir.” OpenSSL sözcüsü BleepingComputer’a söyledi.
“TLS sunucuları, istemci kimlik doğrulamasını (daha az yaygın bir yapılandırmadır) kullanıyorlarsa ve kötü niyetli bir istemci buna bağlanmaya çalışırsa etkilenebilir. Bunun ne ölçüde aktif istismara dönüşeceğini tahmin etmek zor.”
Devam eden istismarla ilgili karışık bilgiler olsa da, tehdit aktörleri, özellikle kullanıcı etkileşimi olmadan düşük karmaşıklıktaki saldırılarda kusurdan yararlanabilecekleri göz önüne alındığında, NAS cihazlarını çekici hedefler bulurlarsa, muhtemelen kullanılabilir bir istismar geliştirebilir ve saldırılarda kullanabilirler.
QNAP ayrıca, Dirty Pipe adlı yüksek önemdeki bir Linux güvenlik açığının bıraktığı güvenlik açıklarını yamalayarak tehdit aktörlerinin yerel erişime sahip olmasını sağlamak için çalışıyor. QTS 5.0.x, QuTScloud c5.0.x ve QuTS hero h5.0.x çalıştıran cihazlarda kök ayrıcalıkları elde etmek için.
İki hafta önceki ilk uyarıdan bu yana, QNAP, QuTS hero h5.0.0.1949 build 20220215 ve sonraki sürümleri çalıştıran cihazlar için Kirli Boru hatasını düzeltti ve söz QTS ve QuTScloud için yamaları mümkün olan en kısa sürede yayınlamak.