聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
QNAP披露了三个漏洞,它们可导致认证绕过、命令注入和SQL注入后果。虽然后两类漏洞要求攻击者在目标系统上进行认证,从而大大降低了风险,但第一类漏洞CVE-2024-21899则可在无需认证的情况下遭远程执行,且被标记为“低复杂度”。
这三个漏洞如下:
CVE-2024-21899:不当认证机制可导致越权用户通过网络(远程)攻陷系统安全。
CVE-2024-21900:该漏洞可导致认证用户通过网络在系统上执行任意命令,从而导致越权系统访问权限或控制。
CVE-2024-21901:GIA漏洞可导致认证管理员通过网络注入恶意SQL代码,从而攻陷数据库完整性并操纵其内容。
这些漏洞影响QNAP操作系统的多个版本,包括QTS 5.1.x、QTS 4.5.x、QuTS hero h5.1.x、QuTS hero h4.5.x、QuTScloud c5.x和myQNAPcloud 1.0.x 服务。
建议用户升级至如下已修复这些漏洞的版本:
QTS 5.1.3.2578 build 20231110 及后续版本
QTS 4.5.4.2627 build 20231225 及后续版本
QuTS hero h5.1.3.2578 build 20231110 及后续版本
QuTS hero h4.5.4.2626 build 20231225 及后续版本
QuTScloud c5.1.5.2651 及后续版本
myQNAPcloud 1.0.52 (2023/11/24) 及后续版本
对于QTS、QuTS hero和QuTSchool 而言,用户必须以管理员身份登录,导航至“控制面板>系统>固件更新”,并点击“检查更新”来启动自动化安装流程。
要更新 myQNAPcloud,则以管理员身份登录,打开“App 中心”,点击搜索框,输入 “myQNAPcloud” + ENTER 键。更新将会出现在结果中。点击“更新”按钮以启动。
NAS 设备通常存储企业和个人的大量有价值数据,包括敏感的个人信息、知识财产和关键的业务数据。同时,这些数据并未得到密切监控,仍然是联网状态且暴露到互联网,并可使用过期的操作系统/固件。
为此,NAS设备通常称为数据盗取和勒索的目标。某些勒索组织此前专门攻击QNAP设备如DeadBolt、Checkmate和Qlocker。这些黑客组织对NAS用户发动大量攻击,有时候会利用0day exploit来攻击完全修复的设备。
对于NAS设备所有人而言,最佳实践是保持更新软件,而更好的方法是不要讲这类设备暴露到互联网。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh