QNAP meldt dat verschillende van zijn nas-systemen kwetsbaar zijn voor de eerder ontdekte Dirty Pipe-bug. Deze bug maakt privilege escalation mogelijk wanneer aanvallers lokaal toegang hebben tot het systeem. Het bedrijf komt later met patches voor zijn systemen.

 

QNAP schrijft dat verschillende van zijn systemen kwetsbaar zijn voor de bug, die eerder al werd ontdekt. Alle x86-nas-systemen die QTS-versie 5.0 of QuTS hero h5.0 of nieuwer draaien, zijn kwetsbaar. Datzelfde geldt voor 'bepaalde' Arm-modellen met die OS-versies. QNAP-systemen die QTS 4 draaien, zijn niet kwetsbaar.

De kwetsbaarheid zit in alle Linux-kernelversies vanaf 5.8. De bug maakt local privilege escalation mogelijk. Daarmee kunnen aanvallers met lokale toegang tot het nas-systeem commando's uitvoeren als root en daarmee eigen code injecteren. Het is niet mogelijk om de kwetsbaarheid op afstand uit te buiten.

De Dirty Pipe-kwetsbaarheid wordt aangeduid als CVE-2022-0847. Het betreft een fout in de pipebufferstructuur van de Linux-kernel, die aanvallers kunnen uitbuiten om naar pagina's in de page cache te schrijven en zo adminrechten op een systeem te vergaren. De update is inmiddels gepatcht in de Linux-kernel.

QNAP geeft de kwetsbaarheid een 'hoog' ernstigheidsniveau. Het bedrijf geeft aan de kwetsbaarheid te onderzoeken. De nas-fabrikant komt later met meer informatie en beveiligingsupdates voor zijn systemen die de kwetsbaarheid oplossen. Het is niet bekend wanneer dat precies gebeurt.

Update, 11.12: In het artikel is verduidelijkt dat het om een Linux-kwetsbaarheid gaat, en niet alleen een bug in QNAP-systemen.

Reacties mogelijk gemaakt door CComment