Le fabricant de stockage en réseau QNAP a émis un avis de sécurité avertissant que ses appareils pourraient être vulnérables à la vulnérabilité Dirty Pipe Linux.
L’avertissement couvre QTS 5.0.x sur tous les NAS basés sur QNAP x86 et certains NAS basés sur QNAP ARM, et QuTS hero h5.0.x sur tous les NAS basés sur QNAP x86 et certains NAS basés sur QNAP ARM. Les boîtiers NAS QNAP exécutant QTS 4.x ne sont pas affectés. QNAP a une liste pratique en ligne spécifiant la version du noyau utilisée par chacun de ses systèmes de stockage, afin que vous puissiez vérifier rapidement si vous êtes susceptible d’être affecté.
L’avis consultatif de QNAP, qui a un indice de gravité élevé (un en dessous du niveau critique, le niveau le plus élevé) et qui fait toujours l’objet d’une enquête au moment de la rédaction, avertit : « Si elle est exploitée, cette vulnérabilité permet à un utilisateur non privilégié d’obtenir des privilèges d’administrateur et injecter du code malveillant.
Comme nous l’avons signalé la semaine dernière, Dirty Pipe affecte tous les noyaux Linux, y compris Android, entre 5.8 et 5.10.122, qui a reçu un correctif. Les noyaux 5.16.11 et 5.15.25 sont également sécurisés. La vulnérabilité est nommée CVE-2022-0847 dans la base de données nationale des vulnérabilités, qui décrit comment un pirate informatique ayant un accès local à votre machine peut exploiter une faille « dans la façon dont le membre ‘flags’ de la nouvelle structure de tampon de canal manquait d’initialisation appropriée dans copy_page_to_iter_pipe et push_pipe fonctionnent dans le noyau Linux et peuvent donc contenir des valeurs obsolètes. Un utilisateur local non privilégié pourrait utiliser cette faille pour écrire sur des pages du cache de pages sauvegardées par des fichiers en lecture seule et ainsi élever ses privilèges sur le système. Ce qui est mauvais.
Heureusement, le correctif est déjà en place, donc QNAP recommande aux utilisateurs d’attendre une mise à jour de sécurité, car « il n’y a pas d’atténuation disponible pour cette vulnérabilité ». Il n’y a aucune mention de mettre leurs appareils hors ligne – ou du moins de ne pas les exposer à Internet – comme c’était le cas lorsque le rançongiciel Deadbolt a frappé les appareils QNAP, entre autres, plus tôt cette année.
QNAP a été rapide avec de telles mises à jour dans le passé, le correctif pour empêcher et supprimer Deadbolt arrivant huit jours seulement après que le malware, qui a piraté la page de connexion NAS et les fichiers cryptés, a commencé à infecter les systèmes.