QNAP修複可讓黑客注入惡意代碼的嚴重漏洞
QNAP 警告客戶安裝 QTS 和 QuTS 固件更新,本次更新修複一個嚴重級安全漏洞,漏洞允許遠端攻擊者在 QNAP NAS 裝置上注入惡意代碼。該漏洞編号為 CVE-2022-27596 并被公司評為“嚴重”(CVSS v3 評分:9.8),影響作業系統的 QTS 5.0.1 和 QuTS hero h5.0.1 版本。
QNAP沒有透露有關該漏洞的技術細節,但 NIST 門戶将其描述為 SQL 注入缺陷。SQL 注入漏洞允許攻擊者在易受攻擊的裝置上發送特制請求以修改合法的 SQL 查詢以執行意外行為。此外,QNAP 釋出了一個描述漏洞嚴重性的 JSON 檔案,這表明遠端攻擊者可以在低複雜性攻擊中利用它,而無需使用者互動或目标裝置上的特權。
QNAP 表示,運作 QTS 和 QuTS hero 的使用者裝置應更新到以下版本以保持安全:
QTS 5.0.1.2234 建構 20221201 及更高版本
QuTS hero h5.0.1.2248 build 20221215 及更高版本
要執行更新,客戶可以以管理者使用者身份登入他們的裝置,然後轉到“控制台 → 系統 → 固件更新”。在“實時更新”部分下,單擊“檢查更新”選項并等待下載下傳和安裝完成。
QNAP 的公告未将 CVE-2022-27596 标記為在野外被積極利用。由于漏洞的嚴重性,建議使用者盡快應用可用的安全更新,因為攻擊者會主動針對 QNAP 漏洞。QNAP 裝置已經成為正在進行的名為 DeadBolt 和 eCh0raix的勒索軟體活動的目标,衆所周知,這些活動會 濫用漏洞 來加密暴露的 NAS 裝置上的資料。
