3118 подписчиков

QNAP просит пользователей самостоятельно устранить критические ошибки в Apache HTTP Server

22 апреля 202222 апр 2022

2 мин

Компания QNAP обратилась к своим клиентам с просьбой самостоятельно принять меры по устранению уязвимостей в сервере Apache HTTP Server, затрагивающих их сетевые устройства хранения данных (NAS). Уязвимости (отслеживаемые как CVE-2022-22721 и CVE-2022-23943) были помечены как критические с базовой оценкой серьезности 9.8/10 и воздействуют на системы, работающие под управлением Apache HTTP Server 2.4.52 и более ранних версий. Как показала оценка аналитиков NVD, неаутентифицированные злоумышленники могут использовать уязвимости удаленно в атаках низкой сложности, не требующих взаимодействия с пользователем. В настоящее время компания QNAP проводит расследование этих двух ошибок безопасности и планирует выпустить обновления безопасности в ближайшее время. "CVE-2022-22721 затрагивает 32-битные модели сетевых хранилищ QNAP, а CVE-2022-23943 затрагивает пользователей, которые включили mod_sed в Apache HTTP Server на своем устройстве QNAP", - пояснил тайваньский производитель сетевых хранилищ

Оглавление

Компания QNAP обратилась к своим клиентам с просьбой самостоятельно принять меры по устранению уязвимостей в сервере Apache HTTP Server, затрагивающих их сетевые устройства хранения данных (NAS).
Патчей нет, "лечитесь" сами

Компания QNAP обратилась к своим клиентам с просьбой самостоятельно принять меры по устранению уязвимостей в сервере Apache HTTP Server, затрагивающих их сетевые устройства хранения данных (NAS).

Уязвимости (отслеживаемые как CVE-2022-22721 и CVE-2022-23943) были помечены как критические с базовой оценкой серьезности 9.8/10 и воздействуют на системы, работающие под управлением Apache HTTP Server 2.4.52 и более ранних версий.

Как показала оценка аналитиков NVD, неаутентифицированные злоумышленники могут использовать уязвимости удаленно в атаках низкой сложности, не требующих взаимодействия с пользователем.

В настоящее время компания QNAP проводит расследование этих двух ошибок безопасности и планирует выпустить обновления безопасности в ближайшее время.

"CVE-2022-22721 затрагивает 32-битные модели сетевых хранилищ QNAP, а CVE-2022-23943 затрагивает пользователей, которые включили mod_sed в Apache HTTP Server на своем устройстве QNAP", - пояснил тайваньский производитель сетевых хранилищ.

"Мы тщательно изучаем две уязвимости, затрагивающие продукты QNAP, и выпустим обновления безопасности как можно скорее".

Патчей нет, "лечитесь" сами

До выхода исправлений компания QNAP рекомендует пользователям оставить значение по умолчанию "1M" в LimitXMLRequestBody для защиты от атак CVE-2022-22721 и отключить mod_sed для защиты от CVE-2022-23943.

Компания также отмечает, что внутрипроцессный фильтр содержимого mod_sed отключен по умолчанию в Apache HTTP Server на устройствах NAS под управлением операционной системы QTS.

В последнее время "критические уязвимости" различной степени серьезности неустанно "преследуют" пользователей NAS. В настоящий момент QNAP пытается устранить серьезную "дыру" в безопасности, получившую название 'Dirty Pipe'. Эта уязвимость позволяет злоумышленникам с локальным доступом получить привилегии root и делать с устройством что "душа пожелает"

NAS-устройства под управлением различных версий QTS, QuTS hero и QuTScloud также подвержены серьезной ошибке OpenSSL, которую злоумышленники могут использовать для запуска DoS-атак и удаленного вывода из строя уязвимых устройств.

В то время как ошибка Dirty Pipe остается неисправленной для устройств под управлением QuTScloud c5.0.x, QNAP до сих пор не выпустила исправления для DoS-неисправности OpenSSL, о которой она предупредила клиентов три недели назад.

Компания заявляет, что нет никаких мер по устранению этих двух уязвимостей, и рекомендует пользователям "проверить и установить обновления безопасности, как только они станут доступны".