技術支援
文件
登錄
聯繫我們
未打補丁的 QNAP 儲存設備暴露於勒索軟體
奧班拉·奧佩耶米
實施期間: 2023年2月16 日 - TuxCare專家團隊
安全公司Censys警告說,臺灣QNAP製造的多達29,000台網路存儲設備容易受到容易執行的SQL注入攻擊,從而為未經身份驗證的互聯網使用者提供完全控制權。
CVE-2022-27596 漏洞在 CVSS 評分量表上的評分為 9.8 分(滿分 10 分)。QTS 5.0.1 和 QuTS Hero h5.0.1 存在問題。該漏洞的影響最初被認為會使 30,000 台 QNAP 網路連接存儲 (NAS) 設備受到攻擊,但可能被誇大了。研究人員現在認為,QNAP任意代碼注入錯誤對QNAP用戶的風險很小,CVSS得分為9.8。
根據QNAP的公告,NIST國家漏洞資料庫中的漏洞條目顯示,由於“SQL命令中使用的特殊元素的中和不當”,該漏洞可能允許攻擊者執行SQL注入攻擊。
根據 Censys 的數據,主機運行易受攻擊的 QNAP 版本的前十個國家是美國、義大利、臺灣、德國、日本、法國、香港、韓國、英國和波蘭。此外,研究人員的發現基於QNAP在其JSON編碼附件中發佈的內容以及NIST NVD公告。
圍繞該漏洞的確切技術細節尚不清楚,但它已被NIST國家漏洞資料庫(NVD)歸類為SQL注入漏洞。注入允許數據修改、盜竊或刪除,以及對運行易受攻擊應用程式的系統的管理控制。
QNAP 發佈了補丁說明,但 Censys 研究發現,67,415 台設備中只有 2% 被修補,這引發了人們對勒索軟體活動(如 Deadbolt 活動)可能利用此漏洞並造成嚴重損害的擔憂。
建議使用者以管理員身份登錄 QTS 或 QuTS hero,導航到控制面板>系統>固件更新,然後在“實時更新”部分下選擇“檢查更新”。
這篇文章的來源包括 ArsTechnica的一篇文章。
