image

QNAP waarschuwt voor OpenSSH-kwetsbaarheid in NAS-besturingssysteem

woensdag 3 juli 2024, 10:22 door Redactie, 4 reacties

NAS-fabrikant QNAP waarschuwt voor de recent gevonden kwetsbaarheid in OpenSSH die ook aanwezig is in twee Release Candidates van de besturingssystemen die op de apparaten van het bedrijf draaien. Er wordt gewerkt aan een oplossing. Wanneer die precies zal verschijnen is nog onbekend. Gebruikers wordt aangeraden om de SSH-service uit te schakelen, wat standaard al het geval is.

Deze week waarschuwde securitybedrijf Qualys voor een kwetsbaarheid in OpenSSH, met de naam 'regreSSHion', waardoor een ongeauthenticeerde aanvaller op afstand op kwetsbare servers code als root kan uitvoeren. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren.

Een 'signal handler race condition' in OpenSSH’s server (sshd) maakt 'unauthenticated remote code execution' als root mogelijk. Het probleem speelt bij glibc-gebaseerde Linux-systemen. OpenSSH heeft het probleem verholpen. Tal van andere partijen maken echter ook gebruik van OpenSSH. In het geval van QNAP is de kwetsbare OpenSSH-versie aanwezig in QTS 5.2.0 Release Candidate en QuTS hero h5.2.0 Release Candidate. Dit zijn twee NAS-besturingssystemen van de fabrikant.

QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, h4.5.x, en QuTScloud c5.x zijn niet kwetsbaar. De impact lijkt dan ook mee te vallen, aangezien de meeste gebruikers geen Release Candidate draaien, maar alleen 'official releases', zoals QNAP het noemt. De NAS-fabrikant geeft aan dat de kwetsbaarheid in de officiële versie van QTS 5.2.0 en QuTS hero h5.2.0 zal zijn verholpen. Gebruikers van deze twee versies krijgen ook het advies om SSH uitgeschakeld te houden. Mocht de service toch zijn vereist, adviseert QNAP daar geen poort 22 voor te gebruiken en IP Access Protection in te schakelen.

Reacties (4)
03-07-2024, 11:11 door Anoniem
Ik verwacht een heleboel update berichten van op Linux gebaseerde apparaten en computersystemen.
03-07-2024, 11:50 door Anoniem
Het is met QNAP eigenlijk hetzelfde als met het bordje "straatschade" (Straßenschäden) dat je gelijk ziet zodra je de grens naar Duitsland bent gepasseerd: dat bordje mag wel achterwege blijven.
03-07-2024, 11:52 door Anoniem
Door Anoniem: Ik verwacht een heleboel update berichten van op Linux gebaseerde apparaten en computersystemen.
Klopt. Ubuntu heeft de update gisteren al gekregen.
07-07-2024, 12:27 door Leo van Lierop
Door Anoniem: Het is met QNAP eigenlijk hetzelfde als met het bordje "straatschade" (Straßenschäden) dat je gelijk ziet zodra je de grens naar Duitsland bent gepasseerd: dat bordje mag wel achterwege blijven.
QNAP heeft dit standaard uit staan. Dan moet het ook nog in je router aan staan. En je moet speciaal de RC versie hebben aan staan. Lage impact dus.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.