Bulletins

Une vulnérabilité de boucle infinie d’OpenSSL affecte les périphériques NAS de QNAP

bs1.jpg

La société QNAP a révélé qu'un certain nombre de ses appareils de stockage en réseau (NAS) sont affectés par une faille récemment divulgué dans la bibliothèque cryptographique open-source OpenSSL.

"Une vulnérabilité de boucle infinie dans OpenSSL a été signalée comme affectant certains NAS de QNAP", a déclaré la société dans un avis publié le 29 mars 2022. "Si elle est exploitée, cette vulnérabilité permet aux attaquants de mener des attaques par déni de service".

Repéré sous le nom de CVE-2022-0778 (score CVSS : 7,5), le problème concerne un bug qui survient lors de l'analyse des certificats de sécurité pour déclencher une condition de déni de service et faire planter à distance les appareils non corrigés.

QNAP a déclaré que ce problème affecte les versions suivantes du système d'exploitation :

  • QTS 5.0.x et ultérieures ;
  • QTS 4.5.4 et ultérieur ;
  • QTS 4.3.6 et ultérieur ;
  • QTS 4.3.4 et ultérieur ;
  • QTS 4.3.3 et ultérieur ;
  • QTS 4.2.6 et ultérieur ;
  • QuTS hero h5.0.x et ultérieur ;
  • QuTS hero h4.5.4 et ultérieur ;
  • QuTScloud c5.0.x et ultérieur.

À ce jour, il n'existe aucune preuve que la vulnérabilité ait été exploitée dans la nature. Bien que le Computer Security Incident Response Team (CSIRT) italien ait publié un avis contraire le 16 mars, l'agence a précisé à qu'elle avait "mis à jour l'alerte avec un errata corrigé".