QNAP, müşterilerin ağa bağlı depolama (NAS) cihazlarını etkileyen Apache HTTP sunucusu güvenlik güvenlik açıklarını kullanma girişimlerini engellemek için azaltma önlemlerini uygulamalarını istedi.
Kusurlar (CVE-2022222721 ve CVE-2022223943 olarak izlenir), 9.8 / 10'luk şiddeti baz puanları ve Apache HTTP sunucusu 2.4.52 ve daha önce çalışan darbe sistemleri ile kritik olarak etiketlendi.
NVD analistlerinin değerlendirilmesi [1, 2] ortaya çıktığı gibi, kimliği doğrulanmamış saldırganlar, kullanıcı etkileşimi gerektirmeden düşük karmaşıklıktaki saldırılarda uzaktan uzaktan güvenlik açıklarından yararlanabilirler.
QNAP şu anda iki güvenlik hatasını araştırıyor ve yakın gelecekte güvenlik güncellemelerini yayınlamayı planlıyor.
"CVE-2022-22721, 32 bit QNAP NAS modellerini etkiler ve CVE-2022-23943, Tayvan tabanlı NAS üreticisi," APACHE HTTP Sunucusu'nda Mod_SED'i olan kullanıcıları QNAP Cihazında Etkiler "dedi.
"QNAP ürünlerini etkileyen iki güvenlik açıkını iyice araştırıyoruz ve mümkün olan en kısa sürede güvenlik güncellemelerini serbest bırakacak."
Yamalar mevcut olana kadar, QNAP, müşterilerin CVE-2022222721 saldırılarını azaltması ve CVE-202223943 azaltma olarak mod_sed'i devre dışı bırakması için LimitXmlRequestbody varsayılan değeri "1m" tutarını tavsiye eder.
Şirket ayrıca, MOD_SED işlem içi içerik filtresinin, QTS işletim sistemini çalıştıran NAS aygıtlarındaki Apache HTTP sunucusunda varsayılan olarak devre dışı bırakıldığını belirtiyor.
QNAP, kök ayrıcalıkları elde etmek için yerel erişim olan 'kirli boru' olarak adlandırılan 'kirli boru' dublajan 'kirli boru' olarak adlandırılan yüksek şiddeti olan bir Linux güvenlik açığını ele almak için güvenlik güncellemeleri üzerinde çalışıyor.
QTS, QTS Hero ve QutsCloud'un birden fazla sürümünü çalıştıran NAS aygıtları, tehdit aktörlerinin hizmet reddi (DOS) devletlerinin (DOS) devletlerinin reddi (DOS) durumlarını tetiklediğini ve uzaktan savunmasız cihazların çarpmasından yararlanabileceği yüksek şiddetli bir OpenSSL hatasından da etkilenir.
Kirli boru hatası, Qutscloud C5.0.0.x çalışan cihazlar için sabitlenmeye devam ederken, QNAP henüz OpenSSL DOS kusurları için yamaları serbest bırakmadı.
Şirket, bu iki kırılganlık için herhangi bir azaltma olmadığını ve müşterilerin "tekrar kontrol edin ve kullanılabilir oldukları anda güvenlik güncellemelerini yüklemesini" önerdiğini söylüyor.
QNAP, müşterileri yönlendiricilerde UPnP port yönlendirmeyi devre dışı bırakmalarını sağlar
Kritik Apache Struts RCE güvenlik açığı tamamen sabit değildi, şimdi yama
VMware, birden çok üründeki kritik güvenlik açıklarını uyarıyor
QNAP Şiddetli OpenSSL hatası NAS cihazlarının çoğunu etkiler
QNAP Şiddetli Linux Hatası NAS Cihazlarının çoğunu etkiler
Kaynak: Bleeping Computer