image

QNAP waarschuwt voor Dirty Pipe-kwetsbaarheid in NAS-systemen

maandag 14 maart 2022, 09:56 door Redactie, 6 reacties

NAS-systemen van QNAP zijn kwetsbaar voor de Dirty Pipe-kwetsbaarheid, die het mogelijk maakt voor een ongeprivilegieerde gebruiker om beheerder te worden, zo waarschuwt de fabrikant die snel met beveiligingsupdates zegt te zullen komen. Dirty Pipe is een beveiligingslek in de Linux-kernel waardoor een gebruiker of aanvaller met toegang tot het systeem root kan worden.

De NAS-besturingssystemen van QNAP, QTS en QuTS Hero, maken gebruik van de Linux-kernel en hebben zodoende ook met Dirty Pipe te maken. In het geval van QTS en QuTS zorgt de kwetsbaarheid ervoor dat een ongeprivilegieerde gebruiker beheerdersrechten kan krijgen en kwaadaardige code kan injecteren. Het probleem speelt bij QTS 5.0.x en QuTS Hero h5.0.x. Versie 4.x van QTS is niet kwetsbaar.

QNAP is naar eigen zeggen bezig met onderzoek naar de kwetsbaarheid en zal zo snel mogelijk met beveiligingsupdates en meer informatie komen. Op dit moment is er geen mitigatie voor het beveiligingslek beschikbaar. Gebruikers wordt aangeraden om de update, zodra die beschikbaar komt, meteen te installeren.

Reacties (6)
14-03-2022, 10:16 door Anoniem
"Dirty Pipe is een beveiligingslek in de Linux-kernel waardoor een gebruiker of aanvaller met toegang tot het systeem root kan worden"

20e eeuwse omschrijving. De 21e eeuwse omschrijving is meer in de trant van: "waardoor processes toegangscontrole kunnen omzeilen."
14-03-2022, 12:20 door Anoniem
Ok ik hou iedere dag de nas in de gaten of er updates voor zijn.
14-03-2022, 13:16 door Anoniem
Het eerste wat mij te binnen schiet is: vrij recent heeft QNAP veel systeem geforceerd geupdate naar QTS 5.x omdat er een bepaalde ransomware gericht was op QTS 4.x waar ze niet al teveel duidelijkheid over (wilden) geven omtrent het hoe en wat.

Vervolgens waren diverse gebruikers verbaasd of gefrustreerd dat 'hun' systeem ineens was bijgewerkt.
Nu zijn we bijgewerkt naar 5.x en hebben we een beveiligingslek wat niet bestond in QTS 4.x ... ik hoor diezelfde groep gebruikers alweer komen.

Het lijkt wel een beetje kiezen uit 2 kwaden op deze manier.
Hopelijk is de update er snel én wordt die automatisch geïnstalleerd op dezelfde systemen als laatst.
14-03-2022, 17:09 door Anoniem
ik heb Qnap OS 5.0.0.1932 erop staan nu,hij zegt dat het de nieuwste versie nu is.
Misschien is het lek automatisch inderdaad opgelost,of er komt toch nog een nieuwere firmware aan.
14-03-2022, 20:00 door Anoniem
Door Anoniem: Het eerste wat mij te binnen schiet is: vrij recent heeft QNAP veel systeem geforceerd geupdate naar QTS 5.x omdat er een bepaalde ransomware gericht was op QTS 4.x waar ze niet al teveel duidelijkheid over (wilden) geven omtrent het hoe en wat.

Vervolgens waren diverse gebruikers verbaasd of gefrustreerd dat 'hun' systeem ineens was bijgewerkt.
Nu zijn we bijgewerkt naar 5.x en hebben we een beveiligingslek wat niet bestond in QTS 4.x ... ik hoor diezelfde groep gebruikers alweer komen.

Het lijkt wel een beetje kiezen uit 2 kwaden op deze manier.
Hopelijk is de update er snel én wordt die automatisch geïnstalleerd op dezelfde systemen als laatst.

Gebruikers waren verbaast -en- gefrustreerd omdat QNAP op hun systeem had zitten rommelen terwijl ze expliciet aangegeven hadden daar niet van gediend te zijn.

Je weet wel 'opt out', " blijf met je tengels van mijn apparaat af en ik neem zelf het risico."
15-03-2022, 13:20 door Anoniem
Dirty Pipe is een beveiligingslek in de Linux-kernel waardoor een gebruiker of aanvaller met toegang tot het systeem root kan worden.

Linux is geen monocultuur. Het is een linux kernel.

NAS-systemen van QNAP zijn kwetsbaar voor de Dirty Pipe-kwetsbaarheid
Dit is ook niet waar want: Not affected products: QNAP NAS running QTS 4.x
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.