QNAP Systems 發佈了針對兩個關鍵命令注入漏洞的安全公告,這些漏洞影響 QTS 作業系統的多個版本及NAS設備上的應用程式。
第一個漏洞的編號為 CVE-2023-23368 ,嚴重程度為 9.8(滿分 10)。這是一個命令注入漏洞,遠端攻擊者可利用該漏洞透過網路執行命令。
受安全問題影響的QTS版本為QTS 5.0.x和4.5.x、QuTS Hero h5.0.x和h4.5.x以及QuTScloud c5.0.1。
CVE-2023-23368 在以下QTS版本中提供了修復:
- QTS 5.0.1.2376 內部版本 20230421 及更高版本
- QTS 4.5.4.2374 內部版本 20230416 及更高版本
- QuTS Hero h5.0.1.2376 內部版本 20230421 及更高版本
- QuTS Hero h4.5.4.2374 內部版本 20230417 及更高版本
- QuTScloud c5.0.1.2374 及更高版本
第二個漏洞被識別為CVE-2023-23369 ,嚴重程度較低,為 9.0分,也可以被遠端攻擊者利用,達到與前一個漏洞相同的效果。
受影響的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3 和 4.2.x、Multimedia Console 2.1.x 和 1.4.x,以及 Media Streaming add-on 500.1.x 和 500.0.x。
修復程式可用於:
- QTS 5.1.0.2399 內部版本 20230515 及更高版本
- QTS 4.3.6.2441 內部版本 20230621 及更高版本
- QTS 4.3.4.2451 內部版本 20230621 及更高版本
- QTS 4.3.3.2420 內部版本 20230621 及更高版本
- QTS 4.2.6 內部版本 20230621 及更高版本
- Multimedia Console 2.1.2 (2023/05/04) 及更高版本
- Multimedia Console 1.4.8 (2023/05/05) 及更高版本
- Media Streaming add-on 500.1.1.2 (2023/06/12) 及更高版本
- Media Streaming add-on 500.0.0.11 (2023/06/16) 及更高版本
由於 NAS 設備通常用於存儲資料,因此命令執行缺陷可能會產生嚴重影響,QNAP敦促用戶盡快更新。
QNAP 設備過去曾成為大規模勒索軟體攻擊的目標。一年前,Deadbolt 勒索軟體組織也曾利用零日漏洞 對網路上公開的 NAS 設備進行加密。
本文轉載自BleepingComputer。