Para bloquear tentativas de explorar vulnerabilidades, a QNAP pediu para os usuários corrigirem bugs críticos do Apache HTTP Server.
A QNAP pediu aos clientes que apliquem medidas de mitigação para bloquear tentativas de explorar vulnerabilidades de segurança do Apache HTTP Server que afetam seus dispositivos de armazenamento conectado à rede (NAS).
QNAP pediu para os usuários corrigirem bugs críticos do Apache HTTP Server
As falhas (rastreadas como CVE-2022-22721 e CVE-2022-23943) foram marcadas como críticas com pontuações de base de gravidade de 9,8/10 e sistemas de impacto que executam o Apache HTTP Server 2.4.52 e anteriores.
Conforme revelado pela avaliação dos analistas do NVD [1, 2], invasores não autenticados podem explorar as vulnerabilidades remotamente em ataques de baixa complexidade sem exigir a interação do usuário.
A QNAP está investigando os dois bugs de segurança e planeja lançar atualizações de segurança em um futuro próximo.
“O CVE-2022-22721 afeta os modelos QNAP NAS de 32 bits e o CVE-2022-23943 afeta os usuários que habilitaram o mod_sed no Apache HTTP Server em seu dispositivo QNAP.”, explicou o fabricante do NAS baseado em Taiwan.
“Estamos investigando minuciosamente as duas vulnerabilidades que afetam os produtos da QNAP e lançaremos atualizações de segurança assim que possível.”
Até que os patches estejam disponíveis, a QNAP aconselha os clientes a manter o valor padrão “1M” para LimitXMLRequestBody para mitigar os ataques CVE-2022-22721 e desabilitar o mod_sed como mitigação CVE-2022-23943.
A empresa também observa que o filtro de conteúdo em processo mod_sed é desabilitado por padrão no Apache HTTP Server em dispositivos NAS que executam o sistema operacional QTS.
A QNAP também está trabalhando em atualizações de segurança para resolver uma vulnerabilidade Linux de alta gravidade apelidada de ‘Dirty Pipe’ que permite que invasores com acesso local obtenham privilégios de root.
Os dispositivos NAS que executam várias versões do QTS, QuTS hero e QuTScloud também são afetados por um bug OpenSSL de alta gravidade que os agentes de ameaças podem explorar para acionar estados de negação de serviço (DoS) e travar remotamente dispositivos vulneráveis.
Embora o bug do Dirty Pipe ainda precise ser corrigido para dispositivos que executam o QuTScloud c5.0.x, a QNAP ainda não lançou patches para a falha OpenSSL DoS que alertou os clientes três semanas atrás.
A empresa diz que não há mitigação para essas duas vulnerabilidades e recomenda que os clientes “verifiquem e instalem atualizações de segurança assim que estiverem disponíveis”.