Das taiwanesische Unternehmen QNAP hat diese Woche bekannt gegeben, dass einige seiner NAS-Geräte (Network-Attached Storage) von einem kürzlich bekannt gewordenen Fehler in der Open-Source-Verschlüsselungsbibliothek OpenSSL betroffen sind.
„Eine Endlosschleifen-Schwachstelle in OpenSSL wurde gemeldet, die bestimmte QNAP NAS betrifft“, so das Unternehmen in einem am 29. März 2022 veröffentlichten Advisory. „Wenn die Schwachstelle ausgenutzt wird, können Angreifer Denial-of-Service-Angriffe durchführen.“
Die Schwachstelle mit der Bezeichnung CVE-2022-0778 (CVSS-Score: 7.5) bezieht sich auf einen Fehler, der beim Parsen von Sicherheitszertifikaten auftritt und einen Denial-of-Service-Zustand auslöst und ungepatchte Geräte aus der Ferne zum Absturz bringt.
Laut QNAP, das seine Geräte derzeit untersucht, sind die folgenden Betriebssystemversionen betroffen
QTS 5.0.x und höher
QTS 4.5.4 und später
QTS 4.3.6 und später
QTS 4.3.4 und später
QTS 4.3.3 und später
QTS 4.2.6 und später
QuTS hero h5.0.x und später
QuTS hero h4.5.4 und höher und
QuTScloud c5.0.x
Bislang gibt es keine Hinweise darauf, dass die Sicherheitslücke in freier Wildbahn ausgenutzt wurde. Obwohl das italienische Computer Security Incident Response Team (CSIRT) am 16. März eine gegenteilige Meldung veröffentlicht hat, erklärte die Behörde gegenüber The Hacker News, dass sie „die Meldung mit einer Errata-Korrektur aktualisiert hat“.
Der Hinweis kommt eine Woche, nachdem QNAP Sicherheitsupdates für QuTS hero (Version h5.0.0.1949 build 20220215 und später) veröffentlicht hat, um den „Dirty Pipe“-Fehler zur lokalen Privilegienerweiterung zu beheben, der seine Geräte betrifft. Patches für die Betriebssysteme QTS und QuTScloud werden voraussichtlich in Kürze veröffentlicht.