Veel QNAP NAS-systemen kwetsbaar voor Linux Dirty Frag-lek

[Captain Kirk]

Veel NAS-systemen van fabrikant QNAP zijn kwetsbaar voor het Linux Dirty Frag-lek. Een beveiligingsupdate is echter nog niet beschikbaar. Dirty Frag combineert twee verschillende kernel-kwetsbaarheden waardoor het mogelijk is om in het geheugen systeembestanden aan te passen. Een lokale aanvaller kan hierdoor zijn rechten naar die van root verhogen.

QNAP stelt dat één van de Dirty Frag-lekken een probleem is. Het gaat om CVE-2026-43284. Deze kwetsbaarheid raakt alle QNAP x86- en ARM64-gebaseerde NAS-modellen, alle QuTS hero NAS-modellen en alle QuTScloud NAS-instances. De systemen zijn volgens QNAP niet kwetsbaar voor het andere Dirty Frag-lek, aangeduid als CVE-2026-43500. "Op dit moment is er nog geen officiële patch voor het Linux-kernel "Dirty Frag" lek beschikbaar. QNAP werkt aan een fix en adviseert gebruikers om beveiligingsupdates meteen te installeren zodra die beschikbaar zijn", aldus de NAS-leverancier.

Verder wordt aangeraden om verschillende beveiligingsmaatregelen door te voeren, zoals het beperken van shell-toegang. Zo moeten SSH- of Telnet-permissies voor alle non admin-accounts worden ingetrokken. Tevens moeten 'untrusted' services zoals de webserver worden uitgeschakeld en niet essentiële third-party applicaties worden verwijderd. Ook adviseert QNAP om het NAS-systeem niet direct vanaf het internet toegankelijk te maken.

 

bron: https://www.security.nl