QNAP Systems 发布了针对两个关键命令注入漏洞的安全公告,这些漏洞影响 QTS 操作系统的多个版本及其网络附加存储 (NAS) 设备上的应用程序。
第一个漏洞的编号为 CVE-2023-23368 ,严重程度为 9.8(满分 10)。这是一个命令注入漏洞,远程攻击者可利用该漏洞通过网络执行命令。
受安全问题影响的QTS版本为QTS 5.0.x和4.5.x、QuTS Hero h5.0.x和h4.5.x以及QuTScloud c5.0.1。
以下版本中提供了修复:
- QTS 5.0.1.2376 内部版本 20230421 及更高版本
- QTS 4.5.4.2374 内部版本 20230416 及更高版本
- QuTS Hero h5.0.1.2376 内部版本 20230421 及更高版本
- QuTS Hero h4.5.4.2374 内部版本 20230417 及更高版本
- QuTScloud c5.0.1.2374 及更高版本
第二个漏洞被识别为CVE-2023-23369 ,严重程度较低,为 9.0,也可以被远程攻击者利用,达到与前一个漏洞相同的效果。
受影响的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3 和 4.2.x、多媒体控制台 2.1.x 和 1.4.x,以及媒体流加载项 500.1.x 和 500.0.x。
修复程序可用于:
- QTS 5.1.0.2399 内部版本 20230515 及更高版本
- QTS 4.3.6.2441 内部版本 20230621 及更高版本
- QTS 4.3.4.2451 内部版本 20230621 及更高版本
- QTS 4.3.3.2420 内部版本 20230621 及更高版本
- QTS 4.2.6 内部版本 20230621 及更高版本
- 多媒体控制台 2.1.2 (2023/05/04) 及更高版本
- 多媒体控制台 1.4.8 (2023/05/05) 及更高版本
- 媒体流附加组件 500.1.1.2 (2023/06/12) 及更高版本
- 媒体流附加组件 500.0.0.11 (2023/06/16) 及更高版本
要更新 QTS、QuTS Hero 或 QuTScloud,管理员可以登录并导航至控制面板 > 系统 > 固件更新,然后单击实时更新下的“检查更新”以下载并安装最新版本。还可以从 QNAP 网站手动下载更新。
可以通过在应用程序中心查找安装并单击“更新”按钮(仅在存在更新版本时可用)来更新多媒体控制台。更新媒体流插件的过程类似,用户也可以通过搜索应用中心找到该插件。
由于 NAS 设备通常用于存储数据,因此命令执行缺陷可能会产生严重影响,因为网络犯罪分子经常寻找新目标来窃取和/或加密敏感数据。然后,攻击者可以向受害者索要赎金,以免泄露数据或解密数据。
QNAP 设备过去曾成为大规模勒索软件攻击的目标。一年前,Deadbolt 勒索软件团伙利用零日漏洞 对公共互联网上暴露的 NAS 设备进行加密。
转自安全客,原文链接:https://www.anquanke.com/post/id/291241
封面来源于网络,如有侵权请联系删除