QNAP travaille sur des correctifs pour les failles OpenSSL affectant ses périphériques NAS

0

Le fabricant de stockage en réseau (NAS) QNAP étudie et travaille sur des mises à jour de sécurité pour remédier aux vulnérabilités d’exécution de code à distance et de déni de service corrigées par OpenSSL récemment.

Les failles de sécurité répertoriées comme CVE-2021-3711 et CVE-2021-3712 ont un impact sur le périphérique NAS QNAP exécutant QTS, QuTS hero, QuTScloud et HBS 3 Hybrid Backup Sync (une application de sauvegarde et de récupération après sinistre), selon les avis [1, 2] publié plus tôt la semaine dernière.

Le débordement de tampon basé sur le tas dans l’algorithme cryptographique SM2 derrière CVE-2021-3711 entraînerait probablement des plantages, mais peut également être utilisé abusivement par des attaquants pour l’exécution de code arbitraire.

La vulnérabilité CVE-2021-3712 est causée par une faille de dépassement du tampon de lecture lors du traitement des chaînes ASN.1. Les pirates informatiques peuvent l’exploiter pour faire planter des applications vulnérables ou accéder à des contenus de mémoire privés tels que des clés privées ou des informations sensibles similaires.

Comme l’explique QNAP, si elles sont exploitées avec succès, les vulnérabilités permettent aux attaquants distants d’accéder aux données de la mémoire sans autorisation, de déclencher des états de déni de service ou d’exécuter du code arbitraire avec les autorisations de l’utilisateur exécutant l’application HBS 3.

Alors que l’équipe de développement d’OpenSSL a publié OpenSSL 1.1.1l pour corriger les failles récemment, le 24 août, QNAP n’a pas fourni d’heure d’arrivée estimée pour les mises à jour de sécurité entrantes.

Cependant, la société a déclaré qu’elle « enquêtait de manière approfondie sur l’affaire » et « publierait des mises à jour de sécurité et fournirait de plus amples informations dès que possible ».

Les clients de Synology attendent également des mises à jour de sécurité

Récemment, le fabricant de NAS basé à Taïwan Synology a également déclaré que plusieurs modèles de sa gamme NAS (dont DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server et VPN Server) sont affectés par les mêmes deux failles de sécurité.

« De multiples vulnérabilités permettent à des attaquants distants de mener une attaque par déni de service ou d’exécuter du code arbitraire via une version sensible de Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server ou VPN Server », a expliqué la société.

Tout comme QNAP, Synology n’a pas encore publié de mises à jour de sécurité pour corriger ces failles, les marquant comme « en attente » et « en cours ».

Plus tôt ce mois-ci, l’Unité 42 de Palo Alto Networks a révélé qu’une variante du ransomware eCh0raix récemment découverte avait ajouté la prise en charge du chiffrement des périphériques NAS QNAP et Synology.

Un mois plus tôt, QNAP avait corrigé une vulnérabilité de sécurité HBS 3 critique qui permettait aux attaquants d’élever les privilèges, de lire des informations sensibles sans autorisation ou d’exécuter des commandes à distance.

Laisser un commentaire