В настоящее время QNAP изучает эти уязвимости и готовится вскоре выпустить исправления.
Компания QNAP призвала своих пользователей принять меры по блокировке потенциальных атак через уязвимости в Apache HTTP Server, затрагивающие ее сетевые накопители NAS.
Уязвимости CVE-2022-22721 и CVE-2022-23943 обозначены как критические и получили оценки 9,8 и 10 баллов из 10 по шкале оценивания опасности. Проблемы присутствуют в версии Apache HTTP Server 2.4.52 и более ранних.
Как сообщают специалисты NVD, неавторизованный злоумышленник может проэксплуатировать уязвимости удаленно без взаимодействия с пользователем.
Уязвимость CVE-2022-22721 затрагивает 32-битные модели устройств QNAP NAS, а CVE-2022-23943 – устройства с включенным фильтром контента mod_sed в Apache HTTP Server.
В настоящее время QNAP изучает эти уязвимости и готовится вскоре выпустить исправления. Для того чтоб обезопасить себя от возможных атак через уязвимость CVE-2022-22721 до выхода патчей, пользователям устройств QNAP рекомендуется использовать для LimitXMLRequestBody значение по умолчанию «1M». В случае с CVE-2022-23943 в качестве меры предосторожности следует отключить mod_sed. На NAS-устройствах, работающих под управлением операционной системы QTS, mod_sed в Apache HTTP Server отключен по умолчанию.
Храним важное в надежном месте