Theo bleepingcomputer, lỗ hổng có định danh CVE-2022-0778 (điểm CVSS: 7,5) liên quan đến quá trình phân tích cú pháp chứng chỉ bảo mật. Theo đó, các tin tặc có thể khai thác lỗ hổng này để kích hoạt tấn công từ chối dịch vụ (DoS) cũng như làm hư hỏng các thiết bị từ xa chưa được vá.
QNAP cho biết: “Một lỗ hổng vòng lặp vô hạn trong OpenSSL đã được báo cáo là ảnh hưởng đến một số thiết bị QNAP NAS nhất định. Nếu bị khai thác, lỗ hổng này sẽ cho phép tin tặc thực hiện các cuộc tấn công DoS. Hiện tại, chưa có biện pháp giảm thiểu nào đối với lỗ hổng này. Chúng tôi khuyên người dùng nên kiểm tra lại và cài đặt các bản cập nhật bảo mật ngay khi có thể”.
Theo chia sẻ của QNAP thì lỗ hổng sẽ ảnh hưởng đến các thiết bị chạy nhiều phiên bản QTS, QuTS hero và QuTScloud, cụ thể gồm:
“CVE-2022-0778 không quá khó để khai thác, nhưng hiện tại tác động của nó chỉ giới hạn ở mức tấn công từ chối dịch vụ. Trường hợp phổ biến nhất trong quá trình khai thác, đó là khi máy khách TLS truy cập vào một máy chủ độc hại và được cung cấp một chứng chỉ giả mạo. Đồng thời, máy chủ TLS cũng có thể bị ảnh hưởng nếu chúng đang sử dụng xác thực ứng dụng khách với một ứng dụng khách độc hại cố gắng kết nối với nó”, đại diện của OpenSSL cho biết.
Tin tặc có thể khai thác lỗ hổng này trong các cuộc tấn công, nếu chúng nhận thấy thiết bị NAS là mục tiêu lý tưởng, đặc biệt là việc có thể khai thác lỗ hổng trong các cuộc tấn công có độ phức tạp thấp mà không cần sự tương tác của người dùng.
Mặc dù một bản vá đã được phát hành cách đây hai tuần trước khi lỗ hổng được tiết lộ, tuy nhiên QNAP giải thích rằng khách hàng của họ nên đợi cho đến khi công ty phát hành bản cập nhật của riêng mình. Nhà sản xuất cũng kêu gọi khách hàng cài đặt bất kỳ bản vá bảo mật mới nhất ngay sau khi phát hành để chặn các cuộc tấn công tiềm ẩn có thể xảy ra.
Bên cạnh đó, QNAP cũng đang vá các lỗ hổng bảo mật nghiêm trọng của Linux có tên là Dirty Pipe, cho phép tin tặc có quyền truy cập cục bộ để có được đặc quyền root trên các thiết bị chạy phiên bản QTS 5.0.x, QuTScloud c5.0.x và QuTS hero h5.0.x.
Kể từ cảnh báo ban đầu, QNAP đã sửa lỗi Dirty Pipe cho các thiết bị chạy QuTS hero h5.0.0.1949 build 20220215 trở lên, nhà sản xuất này khẳng định sẽ phát hành các bản vá cho QTS và QuTS cloud trong thời gian sớm nhất.
Đinh Hồng Đạt
20:00 | 13/03/2022
08:00 | 29/06/2022
08:00 | 07/11/2022
17:00 | 01/04/2022
15:00 | 30/03/2022
14:00 | 22/02/2024
CyberArk đã cho ra mắt phiên bản trực tuyến của White Phoenix, một công cụ giải mã ransomware mã nguồn mở dành cho các tệp tin bị mã hóa gián đoạn.
09:00 | 01/08/2023
Mọi người đều biết rằng nên chuẩn bị cho một “tương lai lượng tử”, nhưng nó được cho là sẽ xảy ra sau 10 - 20 năm nữa. Thế nhưng vào những ngày cuối cùng của năm 2022, cộng đồng công nghệ thông tin (CNTT) khá xôn xao trước một nghiên cứu do một nhóm các nhà khoa học Trung Quốc trình bày. Kết quả nghiên cứu này tuyên bố rằng trong tương lai gần nhất, có thể bẻ khóa thuật toán mã hóa RSA với độ dài khóa là 2048 bit, đây vốn là nền tảng cho hoạt động của các giao thức internet bằng cách kết hợp khéo léo tính toán cổ điển và tính toán lượng tử. Vậy thực hư mối đe dọa này như thế nào? Liệu có một sự đột phá trong năm nay?
13:00 | 24/03/2022
Nhân dịp đầu Xuân Nhâm Dần, phóng viên Tạp chí An toàn thông tin đã có buổi phỏng vấn đồng chí Đại tá, TS. Hồ Văn Hương, Cục trưởng Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã (MMDS&KĐSPMM), Ban Cơ yếu Chính phủ nhằm hiểu rõ hơn thông tin, định hướng và triển khai công tác quản lý mật mã dân sự và kiểm định sản phẩm mật mã trong thời gian tới.
10:00 | 15/08/2021
Xếp hạng bảo mật hoặc xếp hạng an ninh mạng là một phép đo dựa trên dữ liệu, khách quan và chính xác về tình hình và hiệu suất an ninh mạng của một tổ chức. Để tìm hiểu thêm về lợi ích của xếp hạng bảo mật, Maria Henriquez, Phóng viên của Tạp chí Security (PV) đã có cuộc phỏng vấn “5 phút” với Christos Kalantzis, Giám đốc Công nghệ tại SecurityScorecard. Trước đây, Kalantzis đã xây dựng và lãnh đạo các nhóm kỹ thuật cho FireEye, Tenable, Netflix và YouSendIt. Kalantzis lớn lên ở Montreal, Canada, bắt đầu sự nghiệp phân tích cơ sở dữ liệu cho các công ty như Matrox, CGI, Sync và InterTrade. Tạp chí An toàn thông tin giới thiệu bài phỏng vấn nói trên.