Qnap NAS zijn kwetsbaar voor een OpenSSL-bug. Het bedrijf brengt zelf een waarschuwing naar buiten, maar een patch is er nog niet.
Aanvallers kunnen de kwetsbaarheid CVE-2022-0778 misbruiken om NAS-apparaten te laten crashen. “Indien misbruikt, stelt de kwetsbaarheid aanvallers in staat om DoS-aanvallen uit te voeren”, legt Qnap uit. De aanval kan gebeuren vanop afstand.
Voor het probleem werd al een patch uitgebracht twee weken geleden. Deze uitgave kwam tegelijk met de bekendmaking van de kwetsbaarheid. Qnap laat zijn klanten alleen wachten met patchen tot het bedrijf zelf een update klaar heeft.
Toestellen uit de series QTS, QuTS hero en QuTScloudsies van QTS, QuTS hero en QuTScloud draaien, zijn kwetsbaar. In de waarschuwing haalt het bedrijf zelf deze modellen aan:
- QTS 5.0.x and later
- QTS 4.5.4 and later
- QTS 4.3.6 and later
- QTS 4.3.4 and later
- QTS 4.3.3 and later
- QTS 4.2.6 and later
- QuTS hero h5.0.x and later
- QuTS hero h4.5.4 and later
- QuTScloud c5.0.x
“Momenteel is er geen oplossing beschikbaar voor dit beveiligingslek. We raden gebruikers aan om terug te komen en beveiligingsupdates te installeren zodra deze beschikbaar zijn.”
Eerdere kwetsbaarheid
Qnap heeft zijn handen vol aan het dichten van kwetsbaarheden. Eerder deze maand rapporteerde het bedrijf al dat hackers een dirty pipe-bug in Linux kunnen misbruiken om zichzelf rechten te verschaffen.
lees ook