QNAP waarschuwt gebruikers dat bepaalde nas-toestellen kwetsbaar zijn voor Dirty Pipe, een recent ontdekte Linux-bug die aanvallers rootrechten kan verschaffen (CVE-2022-0847). Ook Android-apparaten met de Linux-kernel 5.8 of recenter zouden getroffen zijn.
Volgens QNAP gaat het om nas'en die QTS 5.0.x of QuTS hero h5.0.x draaien, waaronder alle x86-gebaseerde modellen en bepaalde Arm-toestellen. Daarnaast heeft de fabrikant een volledige lijst met kwetsbare sku’s gedeeld op zijn website (alle modellen met Kernel 5.10.60, link). QTS 4.x zou vrijgesteld zijn van het probleem.
De website van QNAP bevat een forse lijst met kwetsbare nas-apparaten.
Hoewel er een week geleden een fix is uitgebracht voor de versies 5.16.11, 5.15.25 en 5.10.102 van de Linux-kernel, geeft de fabrikant aan dat men volop bezig is met de achterdeur te onderzoeken. Klanten zullen dus nog even moeten wachten tot het bedrijf zijn eigen beveiligingsupdates uitbrengt.
Update 12:25u:
Inmiddels heeft het securitybedrijf Snyk ons meer informatie verstrekt over de Dirty Pipe-kwetsbaarheid.
Bronnen: QNAP, Bleeping Computer
