NAS-fabrikant QNAP waarschuwt voor de recent gevonden kwetsbaarheid in OpenSSH die ook aanwezig is in twee Release Candidates van de besturingssystemen die op de apparaten van het bedrijf draaien. Er wordt gewerkt aan een oplossing. Wanneer die precies zal verschijnen is nog onbekend. Gebruikers wordt aangeraden om de SSH-service uit te schakelen, wat standaard al het geval is.

Deze week waarschuwde securitybedrijf Qualys voor een kwetsbaarheid in OpenSSH, met de naam 'regreSSHion', waardoor een ongeauthenticeerde aanvaller op afstand op kwetsbare servers code als root kan uitvoeren. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren.

Een 'signal handler race condition' in OpenSSH’s server (sshd) maakt 'unauthenticated remote code execution' als root mogelijk. Het probleem speelt bij glibc-gebaseerde Linux-systemen. OpenSSH heeft het probleem verholpen. Tal van andere partijen maken echter ook gebruik van OpenSSH. In het geval van QNAP is de kwetsbare OpenSSH-versie aanwezig in QTS 5.2.0 Release Candidate en QuTS hero h5.2.0 Release Candidate. Dit zijn twee NAS-besturingssystemen van de fabrikant.

QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, h4.5.x, en QuTScloud c5.x zijn niet kwetsbaar. De impact lijkt dan ook mee te vallen, aangezien de meeste gebruikers geen Release Candidate draaien, maar alleen 'official releases', zoals QNAP het noemt. De NAS-fabrikant geeft aan dat de kwetsbaarheid in de officiële versie van QTS 5.2.0 en QuTS hero h5.2.0 zal zijn verholpen. Gebruikers van deze twee versies krijgen ook het advies om SSH uitgeschakeld te houden. Mocht de service toch zijn vereist, adviseert QNAP daar geen poort 22 voor te gebruiken en IP Access Protection in te schakelen.