Le fabricant QNAP de solutions de stockage NAS en réseau a mis en évidence une vulnérabilité Linux récemment divulguée affectant ses dispositifs, qui pourrait être exploitée pour élever les privilèges et prendre le contrôle des systèmes concernés.

Connue sous le nom de ‘Dirty Pipe’ et répertoriée sous le code CVE-2022-0847 avec un score CVSS de 7.8, la faille se trouve dans le noyau Linux et pourrait permettre à un attaquant d'écraser des données arbitraires dans n'importe quel fichier en lecture seule et de prendre le contrôle complet des périphériques NAS QNAP fonctionnant avec les versions 4.x de QTS.

L'exploitation réussie de la vulnérabilité de haute gravité pourrait permettre à un attaquant de créer des tâches de type cron non autorisées, de modifier des fichiers sensibles tels que /etc/passwd, et même de sortir des conteneurs. Le problème a depuis été corrigé dans les versions 5.16.11, 5.15.25 et 5.10.102 de Linux.

Selon la société, il n'y a pas d'atténuation disponible pour cette vulnérabilité, mais il est recommandé aux utilisateurs de vérifier et d’installer les mises à jour de sécurité dès qu’elles sont disponibles.