Der Hersteller von NAS-Geräten (Network-Attached Storage) QNAP warnte am Montag vor einer kürzlich bekannt gewordenen Linux-Schwachstelle in seinen Geräten, die dazu missbraucht werden könnte, die Privilegien zu erhöhen und die Kontrolle über die betroffenen Systeme zu erlangen.
„Eine lokale Schwachstelle, auch bekannt als ‚Dirty Pipe‘, betrifft den Linux-Kernel von QNAP NAS mit QTS 5.0.x und QuTS hero h5.0.x“, teilte das Unternehmen mit. „Wenn diese Schwachstelle ausgenutzt wird, kann ein nicht privilegierter Benutzer Administratorrechte erlangen und bösartigen Code einschleusen.
Das taiwanesische Unternehmen erklärte, dass es seine Produktlinie weiterhin gründlich auf die Schwachstelle untersucht und dass kein QNAP NAS mit QTS 4.x gegen den Dirty Pipe-Fehler immun ist.
Die Schwachstelle mit der Bezeichnung CVE-2022-0847 (CVSS-Score: 7.8) befindet sich im Linux-Kernel und könnte es einem Angreifer ermöglichen, beliebige Daten in schreibgeschützte Dateien zu überschreiben und anfällige Rechner komplett zu übernehmen.
Das Problem wurde inzwischen in den Linux-Versionen 5.16.11, 5.15.25 und 5.10.102 behoben (Stand: 23. Februar 2022, drei Tage nachdem es dem Linux-Kernel-Sicherheitsteam gemeldet wurde).
„Derzeit gibt es keine Abhilfe für diese Sicherheitslücke“, so das Unternehmen. „Wir empfehlen den Nutzern, die Sicherheitsupdates zu überprüfen und zu installieren, sobald sie verfügbar sind.