QNAP, Apache HTTP Server Zafiyeti İçin Uyardı

QNAP, kullanıcılarından NAS cihazlarını etkileyen Apache HTTP sunucusu güvenlik açıklarından yararlanma girişimlerini engellemek için azaltma önlemleri uygulamalarını istedi. Zafiyetler ( CVE-2022-22721 ve CVE-2022-23943 olarak izleniyor) 9.8/10 puan almış durumda. Zafiyet, Apache HTTP sunucusu 2.4.52 ve önceki sürümlerini etkiliyor. Saldırganlar, kullanıcı erişimi gerektirmeden yaptıkları saldırılarla güvenlik açıklarından uzaktan yararlanabiliyor. QNAP yaptığı açıklamada “Şu anda iki güvenlik zafiyetini araştırıyoruz ve yakın zamanda güvenlik güncellemelerini yayınlamayı planlıyoruz” dedi.

Henüz yama yok, ancak azaltma mevcut

QNAP, yamalar hazır olana kadar “CVE-2022-22721” saldırılarını azaltmak için “LimitXMLRequestBody” varsayılan değerini “1M” olarak ayarlanmasını önerdi. Şirket ayrıca, QTS işletim sistemini çalıştıran NAS cihazlarındaki Apache HTTP Sunucusunda mod_sed’i varsayılan olarak devre dışı bırakıldığını da belirtiyor. QNAP, ayrıca yerel erişime sahip saldırganların root ayrıcalıkları kazanmasını sağlayan ‘Dirty Pipe’ adlı yüksek önemdeki bir Linux güvenlik açığını gidermek için güvenlik güncellemeleri üzerinde çalışıyor. QTS, QuTS hero ve QuTScloud’un birden çok sürümünü çalıştıran NAS cihazları, saldırganların hizmet reddi (DoS) saldırılarını tetiklemek ve savunmasız cihazları uzaktan çökertmek için kullanabileceği yüksek önemdeki bir OpenSSL hatasından da etkileniyor. QuTScloud c5.0.x çalıştıran cihazlar için Dirty Pipe zafiyetini düzeltilmeye devam ederken, QNAP müşterileri üç hafta önce uyardığı OpenSSL DoS kusuru için henüz yamalar yayınlamadı.

Kaynak: bleepingcomputer.com

Exit mobile version