De nouvelles vulnérabilités ont été découvertes dans les périphériques de stockage en réseau (NAS) QNAP, a confirmé la société.
Tel que rapporté par BipOrdinateur, les vulnérabilités – suivies comme CVE-2022-22721 et CVE-2022-23943 – ont toutes deux reçu un score de gravité de 9,8/10. Découverts dans Apache HTTP Server 2.4.52 et versions antérieures, les bogues peuvent être utilisés pour effectuer des attaques de faible complexité qui ne nécessitent pas d’interaction avec la victime.
QNAP a averti les propriétaires de NAS d’appliquer les mesures d’atténuation connues, car un correctif complet n’est pas encore disponible.
Atténuation disponible, correctif en attente
« Nous enquêtons en profondeur sur les deux vulnérabilités qui affectent les produits QNAP et publierons des mises à jour de sécurité dès que possible », a déclaré la société.
« CVE-2022-22721 affecte les modèles de NAS QNAP 32 bits et CVE-2022-23943 affecte les utilisateurs qui ont activé mod_sed dans Apache HTTP Server sur leur appareil QNAP. »
En attendant un correctif complet, QNAP a conseillé aux clients de conserver la valeur par défaut « 1M » pour LimitXMLRequestBody et de désactiver mod_sed, car ces deux choses bouchent efficacement les trous.
QNAP a également déclaré que le filtre de contenu in-process mod_sed est désactivé par défaut dans Apache HTTP Server sur les appareils NAS exécutant le système d’exploitation QTS.
Dans la même annonce, QNAP a révélé qu’il travaillait dur pour réparer « Dirty Pipe », une vulnérabilité Linux de haute gravité récemment découverte.
Dirty Pipe affecte les appareils NAS exécutant plusieurs versions de QTS, QuTS hero et QuTScloud, et permet aux pirates de déclencher des attaques par déni de service (DoS) ou de faire planter des terminaux à distance.
L’équipe du noyau Linux a corrigé Dirty Pipe dès que son existence a été confirmée. Une mise à jour de sécurité a été déployée sur toutes les versions Linux concernées, tandis que Google a également mis à jour le système d’exploitation Android.
S’il n’est pas corrigé sur les systèmes vulnérables, Dirty Pipe peut être exploité par un attaquant pour obtenir un contrôle total sur les ordinateurs et les smartphones concernés. Avec cet accès, ils pourraient lire les messages privés des utilisateurs, compromettre les applications bancaires et plus encore.
Via BleepingComputer