Тайваньская QNAP подтвердила, что некоторые ее сетевые устройства хранения данных (NAS) подвержены уязвимости бесконечного цикла в библиотеке OpenSSL.
Как заявили представители компании, при успешной эксплуатации уязвимости злоумышленники могут проводить атаки типа «отказ в обслуживании».
Уязвимость CVE-2022-0778 получила оценку в 7,5 балла. Она связана с ошибкой, которая возникает при анализе сертификатов безопасности для запуска условия отказа в обслуживании и удаленного сбоя в работе уязвимых устройств.
Уязвимость затрагивает версии операционной системы QTS 5.0.x и выше, QTS 4.5.4 и выше, QTS 4.3.6 и выше, QTS 4.3.4 и выше, QTS 4.3.3 и выше, QTS 4.2.6 и выше, QuTS hero h5.0.x и выше, QuTS hero h4.5.4 и выше, и QuTScloud c5.0.x
Пока свидетельств эксплуатации уязвимости в реальных атаках нет.
Ранее владельцы NAS Asustor и QNAP сообщили об атаке программы-вымогателя DeadBolt. Преступники заражали устройство программой и зашифровывали данные жертвы, а в качестве выкупа требовали выкуп в биткоинах. Также злоумышленники предлагали предоставить полную информацию об уязвимости QNAP.
