La société taïwanaise QNAP a révélé cette semaine qu’un certain nombre de ses appliances de stockage en réseau (NAS) sont affectées par un bogue récemment divulgué dans la bibliothèque cryptographique open source OpenSSL.
« Une vulnérabilité de boucle infinie dans OpenSSL a été signalée comme affectant certains NAS QNAP », a déclaré la société dans un avis publié le 29 mars 2022. « Si elle est exploitée, la vulnérabilité permet aux attaquants de mener des attaques par déni de service. »
Suivi en tant que CVE-2022-0778 (score CVSS : 7,5), le problème concerne un bogue qui survient lors de l’analyse des certificats de sécurité pour déclencher une condition de déni de service et planter à distance des appareils non corrigés.
QNAP, qui enquête actuellement sur sa gamme, a déclaré que cela affectait les versions de système d’exploitation suivantes –
QTS 5.0.x et versions ultérieures
QTS 4.5.4 et versions ultérieures
QTS 4.3.6 et versions ultérieures
QTS 4.3.4 et versions ultérieures
QTS 4.3.3 et versions ultérieures
QTS 4.2.6 et versions ultérieures
QuTS hero h5.0.x et versions ultérieures
QuTS hero h4.5.4 et versions ultérieures, et
QuTScloud c5.0.x
À ce jour, rien ne prouve que la vulnérabilité ait été exploitée à l’état sauvage. Bien que l’équipe italienne de réponse aux incidents de sécurité informatique (CSIRT) ait publié un avis contraire le 16 mars, l’agence a précisé à The Hacker News qu’elle avait « mis à jour l’alerte avec un correctif d’errata ».
L’avis intervient une semaine après que QNAP a publié des mises à jour de sécurité pour QuTS hero (version h5.0.0.1949 build 20220215 et versions ultérieures) pour résoudre la faille d’escalade de privilèges locale « Dirty Pipe » affectant ses appareils. Des correctifs pour les systèmes d’exploitation QTS et QuTScloud devraient être publiés prochainement.