Компания QNAP обратилась к своим клиентам с просьбой самостоятельно принять меры по устранению уязвимостей в сервере Apache HTTP Server, затрагивающих их сетевые устройства хранения данных (NAS).
Уязвимости (отслеживаемые как CVE-2022-22721 и CVE-2022-23943) были помечены как критические с базовой оценкой серьезности 9.8/10 и воздействуют на системы, работающие под управлением Apache HTTP Server 2.4.52 и более ранних версий.
Как показала оценка аналитиков NVD, неаутентифицированные злоумышленники могут использовать уязвимости удаленно в атаках низкой сложности, не требующих взаимодействия с пользователем.
В настоящее время компания QNAP проводит расследование этих двух ошибок безопасности и планирует выпустить обновления безопасности в ближайшее время.
"CVE-2022-22721 затрагивает 32-битные модели сетевых хранилищ QNAP, а CVE-2022-23943 затрагивает пользователей, которые включили mod_sed в Apache HTTP Server на своем устройстве QNAP", - пояснил тайваньский производитель сетевых хранилищ.
"Мы тщательно изучаем две уязвимости, затрагивающие продукты QNAP, и выпустим обновления безопасности как можно скорее".
Патчей нет, "лечитесь" сами
До выхода исправлений компания QNAP рекомендует пользователям оставить значение по умолчанию "1M" в LimitXMLRequestBody для защиты от атак CVE-2022-22721 и отключить mod_sed для защиты от CVE-2022-23943.
Компания также отмечает, что внутрипроцессный фильтр содержимого mod_sed отключен по умолчанию в Apache HTTP Server на устройствах NAS под управлением операционной системы QTS.
В последнее время "критические уязвимости" различной степени серьезности неустанно "преследуют" пользователей NAS. В настоящий момент QNAP пытается устранить серьезную "дыру" в безопасности, получившую название 'Dirty Pipe'. Эта уязвимость позволяет злоумышленникам с локальным доступом получить привилегии root и делать с устройством что "душа пожелает"
NAS-устройства под управлением различных версий QTS, QuTS hero и QuTScloud также подвержены серьезной ошибке OpenSSL, которую злоумышленники могут использовать для запуска DoS-атак и удаленного вывода из строя уязвимых устройств.
В то время как ошибка Dirty Pipe остается неисправленной для устройств под управлением QuTScloud c5.0.x, QNAP до сих пор не выпустила исправления для DoS-неисправности OpenSSL, о которой она предупредила клиентов три недели назад.
Компания заявляет, что нет никаких мер по устранению этих двух уязвимостей, и рекомендует пользователям "проверить и установить обновления безопасности, как только они станут доступны".