Theo bleepingcomputer, lỗ hổng có định danh CVE-2022-0778 (điểm CVSS: 7,5) liên quan đến quá trình phân tích cú pháp chứng chỉ bảo mật. Theo đó, các tin tặc có thể khai thác lỗ hổng này để kích hoạt tấn công từ chối dịch vụ (DoS) cũng như làm hư hỏng các thiết bị từ xa chưa được vá.

QNAP cho biết: “Một lỗ hổng vòng lặp vô hạn trong OpenSSL đã được báo cáo là ảnh hưởng đến một số thiết bị QNAP NAS nhất định. Nếu bị khai thác, lỗ hổng này sẽ cho phép tin tặc thực hiện các cuộc tấn công DoS. Hiện tại, chưa có biện pháp giảm thiểu nào đối với lỗ hổng này. Chúng tôi khuyên người dùng nên kiểm tra lại và cài đặt các bản cập nhật bảo mật ngay khi có thể”.

Theo chia sẻ của QNAP thì lỗ hổng sẽ ảnh hưởng đến các thiết bị chạy nhiều phiên bản QTS, QuTS hero và QuTScloud, cụ thể gồm:

• QTS 5.0.x trở lên
• QTS 4.5.4 trở lên
• QTS 4.3.6 trở lên
• QTS 4.3.4 trở lên
• QTS 4.3.3 trở lên
• QTS 4.2.6 trở lên
• QuTS hero h5.0.x trở lên
• QuTS hero h4.5.4 trở lên
• QuTS cloud c5.0.x

“CVE-2022-0778 không quá khó để khai thác, nhưng hiện tại tác động của nó chỉ giới hạn ở mức tấn công từ chối dịch vụ. Trường hợp phổ biến nhất trong quá trình khai thác, đó là khi máy khách TLS truy cập vào một máy chủ độc hại và được cung cấp một chứng chỉ giả mạo. Đồng thời, máy chủ TLS cũng có thể bị ảnh hưởng nếu chúng đang sử dụng xác thực ứng dụng khách với một ứng dụng khách độc hại cố gắng kết nối với nó”, đại diện của OpenSSL cho biết.

Tin tặc có thể khai thác lỗ hổng này trong các cuộc tấn công, nếu chúng nhận thấy thiết bị NAS là mục tiêu lý tưởng, đặc biệt là việc có thể khai thác lỗ hổng trong các cuộc tấn công có độ phức tạp thấp mà không cần sự tương tác của người dùng.

Mặc dù một bản vá đã được phát hành cách đây hai tuần trước khi lỗ hổng được tiết lộ, tuy nhiên QNAP giải thích rằng khách hàng của họ nên đợi cho đến khi công ty phát hành bản cập nhật của riêng mình. Nhà sản xuất cũng kêu gọi khách hàng cài đặt bất kỳ bản vá bảo mật mới nhất ngay sau khi phát hành để chặn các cuộc tấn công tiềm ẩn có thể xảy ra.

Bên cạnh đó, QNAP cũng đang vá các lỗ hổng bảo mật nghiêm trọng của Linux có tên là Dirty Pipe, cho phép tin tặc có quyền truy cập cục bộ để có được đặc quyền root trên các thiết bị chạy phiên bản QTS 5.0.x, QuTScloud c5.0.x và QuTS hero h5.0.x.

Kể từ cảnh báo ban đầu, QNAP đã sửa lỗi Dirty Pipe cho các thiết bị chạy QuTS hero h5.0.0.1949 build 20220215 trở lên, nhà sản xuất này khẳng định sẽ phát hành các bản vá cho QTS và QuTS cloud trong thời gian sớm nhất.