Produsen penyimpanan Taiwan QNAP (terbuka di tab baru) telah mengakui bahwa beberapa di antaranya Penyimpanan Terlampir Jaringan (NAS) (terbuka di tab baru) perangkat dipengaruhi oleh kerentanan dilaporkan oleh OpenSSL (terbuka di tab baru)meskipun masih merilis perbaikan.
Menurut perusahaan, kelemahan keamanan OpenSSL dilacak sebagai CVE-2021-3711 (terbuka di tab baru) dan CVE-2021-3712 (terbuka di tab baru)berdampak pada perangkatnya yang menjalankan QTS, pahlawan QuTS, sistem operasi QuTScloud, serta cadangan data Hybrid Backup Sync (HBS 3) dan solusi pemulihan bencana.
Di dalamnya penasehat (terbuka di tab baru)QNAP menjelaskan bahwa kerentanan dapat dieksploitasi untuk memungkinkan penyerang jarak jauh membaca data dalam memori perangkat yang terpengaruh, memicu serangan denial-of-service (DoS), atau menjalankan kode arbitrer dengan izin yang sama dengan pengguna yang menjalankan aplikasi HBS 3.
“QNAP sedang menyelidiki kasus ini secara menyeluruh. Kami akan merilis pembaruan keamanan dan memberikan informasi lebih lanjut sesegera mungkin, ”baca penasehat QNAP.
Apa yang ditahan?
Menariknya, tim pengembangan OpenSSL sudah dirilis OpenSSL v1.1.1l (terbuka di tab baru) untuk mengatasi kekurangan minggu lalu, pada 24 Agustus.
Namun, penasihat QNAP terbaru hanya mengakui adanya kerentanan di perangkatnya. Tidak hanya perusahaan tidak merilis perbaikan, bahkan belum mengeluarkan perkiraan tanggal kapan pengguna dapat mengharapkan tambalan.
QNAP tidak sendirian. Minggu lalu, sesama vendor NAS Taiwan Sinologi (terbuka di tab baru) juga mengakui kehadiran (terbuka di tab baru) kerentanan OpenSSL di banyak produknya. Dan seperti QNAP, Synology juga belum mengatasi kekurangannya, dan malah menandainya sebagai “Tertunda” dan “Sedang berlangsung”.
Perangkat NAS yang terhubung ke internet adalah salah satu target favorit penyerang (terbuka di tab baru)dan baik Synology maupun QNAP telah menerima kampanye semacam itu.
Meskipun belum ada laporan tentang kampanye terhadap perangkat ini yang memanfaatkan kerentanan OpenSSL, penundaan penerbitan tambalan harus menjadi perhatian bagi pemilik perangkat yang rentan.
