Qnap rapporteert opnieuw een kwetsbaarheid in zijn NAS-toestellen. Hackers kunnen de eerder ontdekte dirty pipe-bug in Linux misbruiken om zichzelf meer rechten te verschaffen.
NAS-toestellen van Qnap zijn kwetsbaar voor Dirty pipe. Dat is de naam voor een kwetsbaarheid in de Linux-kernel. Dirty pipe laat aanvallers met beperkte lokale toegang toe om hun privileges te escaleren tot root-niveau. Zowat alle software die op Linux Kernel 5.8 of recenter vertrouwt, is kwetsbaar. Qnap geeft nu zelf aan dat QTS 5.0.x en QuTS hero h5.0.x getroffen zijn. In het geval van Qnap kan een aanvaller zich administrator-privileges toe-eigenen en malafide code uitvoeren.
Veel kwetsbare toestellen
De kwetsbaarheid treft alle x86-NAS-toestellen en sommige exemplaren met ARM-processor wanneer ze bovenstaande versie van hun besturingssysteem draaien. Wie een oudere versie van QTS draait is niet gevoelig voor de bug, al brengt dat weer andere problemen met zich mee. NAS-toestellen van Qnap zijn immers al enkele maanden het doelwit van hackers die de data op de servers willen versleutelen met ransomware.
Qnap onderzoekt de kwetsbaarheid. Voorlopig is er nog geen patch of mitigatie beschikbaar. Het valt op dat Qnap pas vandaag een Security Advisory heeft gepubliceerd, terwijl dirty pipe al bijna een week lang gekend is. Qnap markeert de ernst van de bug als ‘hoog’. Helaas is de enige manier om je te beschermen ervoor zorgen dat een malafide individu geen toegang kan krijgen tot de NAS, hoe laag de rechten ook zijn.