تلاش QNAP برای رفع نقص پچ های OpenSSL که بر دستگاه های NAS تاثیر می گذارند
اخبار داغ فناوری اطلاعات و امنیت شبکه
سازنده استوریج های تحت شبکه (NAS) QNAP گفت که در حال کار و بررسی بر روی دو نقص امنیتی در OpenSSL است که اخیراً پچ شده اند، تا تاثیر احتمالی آنها را مشخص کند. این مجموعه افزود که در صورت آسیب پذیر بودن محصولات آن، بروزرسانی های امنیتی نیز منتشر خواهند شد.
آسیب پذیری هایی با عناوین CVE-2021-3711 (نمره CVSS: 7.5) و CVE-2021-3712 (نمره CVSS: 4.4)، نقاط ضعف مربوط به شدت بالای سرریز بافر در عملکرد رمزگشایی SM2 و مشکل فعالیت اضافی بافر هنگام پردازش رشته های ASN.1 میباشد، که ممکن است توسط مهاجمان برای اجرای کد دلخواه مورد سواستفاده قرار گیرد و باعث عدم ارائه خدمات شده و یا منجر به افشای محتویات حافظه خصوصی مانند رمزهای خصوصی یا متنهای ساده حساس شود:
• CVE-2021-3711 - سرریز بافر رمزگشایی OpenSSL SM2
• CVE-2021-3712 - خواندن بیش از حد بافر که رشته های ASN.1 را پردازش می کند
طبق توصیه نامه امنیتی CVE-2021-3711 گفته شده است که: "یک مهاجم مخرب که قادر است محتوای SM2 را برای رمزگشایی به برنامه ای ارائه نماید، می تواند باعث شود داده های مشخص شده توسط مهاجم حداکثر تا 62 بایت از بافر سرریز کنند و محتویات سایر داده های پس از بافر را تغییر دهند. این کار احتمالا رفتار برنامه را تغییر دهند یا باعث کرش کردن و ایجاد اختلال در برنامه شود".
در واقع، OpenSSL یک لایبرری رمزنگاری متن باز است که به شکل گسترده ای استفاده میگردد و با استفاده از Secure Sockets Layer (SSL) یا Transport Layer Security (TLS) ارتباطات رمزگذاری شده را ارائه می دهد. در نسخه های OpenSSL 1.1.1l و 1.0.2za که در 24 آگوست منتشر شده اند، به این مسائل و مشکلات پرداخته شده است.
در همین حال، NetApp در حالی که به ارزیابی بقیه محصولات خود ادامه می دهد، روز سه شنبه تأیید کرد که این اشکالات، محصولات زیر را تحت تأثیر قرار میدهند:
• داده های دسته ای ONTAP
• داده های دسته ای کانکتور آنتی ویروس ONTAP
• نرم افزار کنترلر سیستم عامل SANtricity E-Series 11.x
• بخش SDK مدیریت NetApp
• ارائه دهنده NetApp SANtricity SMI-S
• نود مدیریتی NetApp SolidFire و HCI
• رمزگذاری استوریج NetApp
این تحولات چند روز پس از آن اتفاق افتاد که سازنده NAS Synology نیز اعلام کرد که تحقیقات در مورد تعدادی از مدلها شامل DSM 7.0 ،DSM 6.2 ،DSM UC ،SkyNAS ، VS960HD ،SRM 1.2 ،VPN Plus Server و VPN Server انجام شده است تا به دقت بررسی شود که آیا آنها نیز تحت تأثیر این دو نقص و آسیب پذیری قرار می گیرند یا خیر.
این شرکت تایوانی در توصیه نامه امنیتی اش اعلام کرد: "آسیب پذیری های متعدد به مهاجمان از راه دور اجازه می دهد تا حملات denial-of-service یا DoS را انجام داده یا احتمالا کد دلخواه را از طریق نسخه حساس Synology DiskStation Manager (DSM) ،Synology Router Manager (SRM) ،VPN Plus Server یا VPN Server اجرا نمایند".
سایر شرکت هایی که محصولات آنها به OpenSSL متکی هستند نیز توصیه نامه های امنیتی منتشر کرده اند. از جمله آنها میتوان به موارد ذیل اشاره کرد:
• دبیان (Debian)
• Red Hat - (CVE-2021-3711 ، CVE-2021-3712)
• SUSE - (CVE-2021-3711 ، CVE-2021-3712)
• اوبونتو (Ubuntu) - (CVE-2021-3711 ، CVE-2021-3712)
برچسب ها: استوریج, بافر, SkyNAS, SUSE, Synology, SANtricity, ONTAP, NetApp, Transport Layer Security, پچ, Debian, QNAP NAS, QNAP, اوبونتو, Ubuntu, SSL, Red Hat, OpenSSL, TLS, DoS, Patch, cybersecurity, رمزگشایی, VPN Server, VPN, امنیت سایبری, آسیب پذیری, Cyber Attacks, حمله سایبری