Theo bleepingcomputer, lỗ hổng có định danh CVE-2022-0778 (điểm CVSS: 7,5) liên quan đến quá trình phân tích cú pháp chứng chỉ bảo mật. Theo đó, các tin tặc có thể khai thác lỗ hổng này để kích hoạt tấn công từ chối dịch vụ (DoS) cũng như làm hư hỏng các thiết bị từ xa chưa được vá.
QNAP cho biết: “Một lỗ hổng vòng lặp vô hạn trong OpenSSL đã được báo cáo là ảnh hưởng đến một số thiết bị QNAP NAS nhất định. Nếu bị khai thác, lỗ hổng này sẽ cho phép tin tặc thực hiện các cuộc tấn công DoS. Hiện tại, chưa có biện pháp giảm thiểu nào đối với lỗ hổng này. Chúng tôi khuyên người dùng nên kiểm tra lại và cài đặt các bản cập nhật bảo mật ngay khi có thể”.
Theo chia sẻ của QNAP thì lỗ hổng sẽ ảnh hưởng đến các thiết bị chạy nhiều phiên bản QTS, QuTS hero và QuTScloud, cụ thể gồm:
“CVE-2022-0778 không quá khó để khai thác, nhưng hiện tại tác động của nó chỉ giới hạn ở mức tấn công từ chối dịch vụ. Trường hợp phổ biến nhất trong quá trình khai thác, đó là khi máy khách TLS truy cập vào một máy chủ độc hại và được cung cấp một chứng chỉ giả mạo. Đồng thời, máy chủ TLS cũng có thể bị ảnh hưởng nếu chúng đang sử dụng xác thực ứng dụng khách với một ứng dụng khách độc hại cố gắng kết nối với nó”, đại diện của OpenSSL cho biết.
Tin tặc có thể khai thác lỗ hổng này trong các cuộc tấn công, nếu chúng nhận thấy thiết bị NAS là mục tiêu lý tưởng, đặc biệt là việc có thể khai thác lỗ hổng trong các cuộc tấn công có độ phức tạp thấp mà không cần sự tương tác của người dùng.
Mặc dù một bản vá đã được phát hành cách đây hai tuần trước khi lỗ hổng được tiết lộ, tuy nhiên QNAP giải thích rằng khách hàng của họ nên đợi cho đến khi công ty phát hành bản cập nhật của riêng mình. Nhà sản xuất cũng kêu gọi khách hàng cài đặt bất kỳ bản vá bảo mật mới nhất ngay sau khi phát hành để chặn các cuộc tấn công tiềm ẩn có thể xảy ra.
Bên cạnh đó, QNAP cũng đang vá các lỗ hổng bảo mật nghiêm trọng của Linux có tên là Dirty Pipe, cho phép tin tặc có quyền truy cập cục bộ để có được đặc quyền root trên các thiết bị chạy phiên bản QTS 5.0.x, QuTScloud c5.0.x và QuTS hero h5.0.x.
Kể từ cảnh báo ban đầu, QNAP đã sửa lỗi Dirty Pipe cho các thiết bị chạy QuTS hero h5.0.0.1949 build 20220215 trở lên, nhà sản xuất này khẳng định sẽ phát hành các bản vá cho QTS và QuTS cloud trong thời gian sớm nhất.
Đinh Hồng Đạt
20:00 | 13/03/2022
08:00 | 29/06/2022
08:00 | 07/11/2022
17:00 | 01/04/2022
15:00 | 30/03/2022
13:00 | 29/12/2023
Xác thực các đối tác truyền thông là một trong những dịch vụ mật mã quan trọng nhất. Truyền thông được xác thực ẩn danh liên quan đến việc ẩn định danh của một thực thể được xác thực với đối tác truyền thông của nó với bên thứ ba, trong khi vẫn có tài sản mà người xác minh có thể sử dụng để xác định một cách đáng tin cậy đối tác truyền thông của họ.
14:00 | 12/07/2023
Ngày 20/7 tới đây, tại Thành phố Hồ Chí Minh, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã, Ban Cơ yếu Chính phủ sẽ tổ chức Hội nghị tập huấn về mật mã dân sự năm 2023 và triển khai Nghị định số 32/2023/NĐ-CP ngày 09/6/2023 của Chính phủ.
10:00 | 25/05/2021
Theo thông tin từ Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã (Ban Cơ yếu Chính phủ), hoạt động cấp phép mật mã dân sự (MMDS) trong quý I/2021 tăng 15% so với cùng kỳ năm 2020.
14:00 | 13/05/2021
Ngày 15/4, Liên minh ioXt, một nhóm thương mại bảo mật IoT được hỗ trợ bởi một số tên tuổi lớn nhất trong ngành, đã giới thiệu một bộ tiêu chuẩn cơ bản cho các ứng dụng di động, với hy vọng rằng một ngày nào đó bảo mật IoT có thể tốt hơn.