Lundi, le fabricant d’appareils de stockage en réseau (NAS) QNAP a mis en garde contre une vulnérabilité Linux récemment révélée affectant ses appareils qui pourrait être exploitée pour élever les privilèges et prendre le contrôle des systèmes concernés.
« Une vulnérabilité d’escalade de privilèges locale, également connue sous le nom de » Dirty Pipe « , a été signalée comme affectant le noyau Linux sur les NAS QNAP exécutant QTS 5.0.x et QuTS hero h5.0.x », a déclaré la société. « Si elle est exploitée, cette vulnérabilité permet à un utilisateur non privilégié d’obtenir des privilèges d’administrateur et d’injecter du code malveillant. »
La société taïwanaise a déclaré qu’elle continuait d’enquêter en profondeur sur sa gamme de produits pour la vulnérabilité et que les appareils NAS QNAP exécutant les versions 4.x de QTS sont immunisés contre la faille Dirty Pipe.
Suivi comme CVE-2022-0847 (score CVSS : 7,8), la lacune réside dans le noyau Linux qui pourrait permettre à un attaquant d’écraser des données arbitraires dans n’importe quel fichier en lecture seule et permettre une prise de contrôle complète des machines vulnérables.
Le problème a depuis été résolu dans les versions Linux 5.16.11, 5.15.25 et 5.10.102 au 23 février 2022, trois jours après avoir été signalé à l’équipe de sécurité du noyau Linux.
« Actuellement, il n’y a pas d’atténuation disponible pour cette vulnérabilité », a ajouté la société. « Nous recommandons aux utilisateurs de vérifier et d’installer les mises à jour de sécurité dès qu’elles sont disponibles. »