Threats

Grande parte dos NAS da QNAP afetados por vulnerabilidade de aumento de privilégios

A QNAP revelou que “todos os sistemas NAS baseados em x86 e alguns NAS baseados em ARM que correm o QTS 5.0.x e o QuTS hero h5.0.x” são afetados pela vulnerabilidade conhecida como dirty pipe

17/03/2022

Grande parte dos NAS da QNAP afetados por vulnerabilidade de aumento de privilégios

A QNAP revelou esta semana que a falha no Linux conhecida como Dirty Pipe – uma vulnerabilidade de severidade crítica – afeta a maioria dos dispositivos NAS da QNAP. De acordo com a empresa, a vulnerabilidade afeta “todos os sistemas NAS baseados em x86 e alguns NAS baseados em ARM que correm o QTS 5.0.x e o QuTS hero h5.0.x” e, por outro lado, especifica que “não afeta os produtos NAS QNAP que correm QTS 4.x”.

O investigador de cibersegurança Max Kellermann descobriu e reportou a vulnerabilidade há oito dias, tendo o código CVE-2022-0847, e está no Linux kernel desde o 5.8. A vulnerabilidade foi corrigida na versão 5.10.102, 5.15.25 e 5.16.11.

No entanto, o Dirty Pipe não afeta apenas máquinas Linux, uma vez que o Android é baseado no kernel Linux em qualquer dispositivo que corra 5.8 ou versões mais recentes e poderá afetar dispositivos como o Samsung Galaxy S22.

A QNAP escreve que, para já, não há nenhuma mitigação disponível para esta vulnerabilidade. “Recomendamos que os utilizadores vejam e instalem as atualizações de segurança assim que ficarem disponíveis”, refere.

QNAP NAS Dirty Pipe