QNAP严重漏洞可导致恶意代码注入

最新推荐文章于 2024-05-17 09:32:23 发布
最新推荐文章于 2024-05-17 09:32:23 发布
阅读量895 收藏
点赞数
文章标签: 安全 web安全 网络 服务器 运维
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247515416&idx=1&sn=e9005edba45daabb40b20c3823c4f297&chksm=ea948c72dde305642e1d413fc58cee4673b2e8288bae850521ae7c67a4270f868028addf531f&scene=126&sessionid=0
版权

aeddbe88d96febaa90854335df0de494.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

QNAP提醒客户安装QTS和QuTS固件更新。该更新修复了一个严重漏洞 (CVE-2022-27596),可导致远程攻击者在QNAP NAS设备上注入恶意代码。

该漏洞是“严重”级别的漏洞,CVSS评分为9.8,影响操作系统QTS 版本5.0.1和QuTS hero版本h5.0.1。安全公告指出,该漏洞如遭利用,“可导致远程攻击者注入恶意代码”。

QNAP 公司并未透露太多漏洞详情或利用可能,但将其描述为SQL注入漏洞。SQL注入漏洞可导致攻击者在易受攻击设备上发送特殊构造的请求以修改合法SQL查询,执行异常行为。另外,QNAP发布JSON文件说明了该漏洞的严重性。文件指出,该漏洞易遭远程攻击者在低复杂攻击活动利用,而无需任何用户交互或目标设备权限。

QNAP表示,在 QTS和QuTS hero 上运行的用户设备应当更新至如下版本:

  • QTS 5.0.1.2234 build 20221201及后续版本

  • QuTS hero h5.0.1.2248 build 20221215及后续版本

要执行该更新,客户可以管理员用户身份登录设备并进入“控制面板—系统---固件更新”。在“实时更新”部分,点击“检查更新”选项并等待下载和安装完成。或者,用户可从QNAP的下载中心下载更新,方法是选择正确的产品类型和型号并手动应用到设备。

QNAP的安全公告并未将该漏洞列为在野活跃利用状态。然而,鉴于漏洞的严重性,建议用户尽快应用可用的安全更新,因为QNAP漏洞历来是攻击者的目标。QNAP设备已成为正在进行的勒索攻击活动DeadBolt和eCh0raix的目标,这些勒索活动滥用多种漏洞在被暴露的NAS设备上加密数据。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

QNAP紧急修复已遭勒索团伙利用的0day

严重的PHP缺陷可导致QNAP NAS 设备遭RCE攻击

QNAP 修复 NAS 备份应用中的严重漏洞

QNAP 提醒客户注意 eCh0raix 勒索攻击和 Room Server 0day

原文链接

https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-letting-hackers-inject-malicious-code/

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

5ab949e0930f431303a31a9e624f79ef.jpeg

40328056d4afb3ab76f3c644c47b2d2a.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   621a26b84be5420960002c7989f12ea6.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
威联通qnap使用acme自动更新证书 qnap-acme.sh
01-29
配合neilepang/acme.sh容器,QTS 5.x可用脚本
qnap-qiot-sdks-master.zip
03-12
7. 开发工具和文档:Qnap为开发者提供了详细的开发文档和示例代码,辅助开发者理解和使用SDK,降低学习曲线。 在解压"qnap-qiot-sdks-master"后,开发者将获得完整的源代码编译脚本、示例项目以及相关说明,开始...
QNAP 修复 NAS 备份应用中的严重漏洞
smellycat000的专栏
07-06 625
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士台湾网络附加存储 (NAS) 厂商 QNAP 修复了一个严重漏洞,它本可攻陷易受攻击 NAS 设备的安全性。该漏洞是一个访问控制不...
QNAP 提醒用户修复 NAS 设备中的高危 Linux Sudo 漏洞
smellycat000的专栏
03-30 816
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士QNAP 公司提醒客户修复位于 NAS 设备中的一个高危 Sudo 提权漏洞 (CVE-2023-22809)。该漏洞是由 Synacktiv 安全研究员发现的,被描述为“sudo 用户在使用 sudoedit 时可绕过 Sudo 版本1.9.12p1中的策略”漏洞。如成功利用使用 Sudo 版本1.8.0至1.9.12p1 的未修复设备上的漏洞...
Java代码漏洞检测-常见漏洞与修复建议
最新发布
baimao__Ch的博客
05-17 1078
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
QNAP提醒注意NAS设备中严重的认证绕过漏洞
smellycat000的专栏
03-11 159
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士QNAP提醒称,NAS 软件产品包括 QTS、QuTS hero、QuTScloud和myQNAPcloud 中存在多个漏洞,可导致攻击者访问设备。QNAP披露了三个漏洞,它们可导致认证绕过、命令注入和SQL注入后果。虽然后两类漏洞要求攻击者在目标系统上进行认证,从而大大降低了风险,但第一类漏洞CVE-2024-21899则可在无需认证的情况下遭...
严重的PHP缺陷可导致QNAP NAS 设备遭RCE攻击
smellycat000的专栏
06-23 413
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士QNAP提醒客户称,攻击者可利用一个已存在三年的严重PHP漏洞 (CVE-2019-11043),在NAS设备执行远程代码。该公司在最新发布的安全公告中表示,默认配置的NAS设备不受影响,运行老旧系统(在2017年至2019年期间发布)的设备受影响。QNAP安全公告中支持,“PHP 低于7.1.33的版本7.1.x、...
Goby漏洞更新 | QNAP-NAS authLogin.cgi 文件 app_token 参数代码执行漏洞(CVE-2022-27596)
m0_46699477的博客
04-04 363
QNAP-NAS authLogin.cgi 文件 app_token 参数代码执行漏洞(CVE-2022-27596)
QNAP NAS在野漏洞攻击事件披露 .pdf
09-05
QNAP NAS在野漏洞攻击事件披露 安全架构 web安全 安全架构信息安全 安全建设
qnap-acme.sh
09-18
威联通QNAP自动续签更新SSL证书脚本(配合acme.sh使用),支持Let's Encrypt免费证书,支持域名泛解析证书,如:*.xx.com。
QNAP NAS攻略
06-05
在《QNAP NAS圖解步驟全攻略》中,Step by step的告訴你如果架構一個NAS,如何很簡單的將自己的資料有系統的備份在NAS中,也可以結合行動裝置和NAS來做到即時影音娛樂。甚至NAS還可以變身為企業內部的應用平台。...
奇安信代码卫士,文件上传漏洞解决demo
04-23
奇安信代码卫士,文件上传漏洞解决demo; #### 文件上传可以参考以下安全需求进行处理: 1. 服务器配置: (1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。 (2)应保证服务器安全,避免文件解析漏洞。 2. 在服务端对上传文件进行检查: (1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。 (2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务攻击。 (4)对文件名进行输入校验,显示时进行输出编码。 3. 文件存储: (1)上传文件应保存在指定路径下。 (2)对上传文件进行随机数重命名,避免文件被覆盖。 (3)设置上传文件路径, 使用户不能轻易访问自己上传的文件 。 (4) 文件应尽量保存在内容服务器web目录外部,避免通过web应用直接访问上传的文件。 4. 对于图片文件进行二次渲染、压缩, 避免图片写马。 5. 校验失败后,记录错误日志信息,内容至少包括时间、用户、IP、操作内容、校验失败
Goby漏洞更新 QNAP-NAS authLogin,技术详细介绍
2401_84248479的博客
04-13 828
都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
QNAP 修复两个严重的命令注入漏洞
smellycat000的专栏
11-07 294
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士QNAP Systems 发布安全公告,修复了影响 NAS 设备上多个 QTS 操作系统和应用程序版本的两个严重的命令注入漏洞。第一个漏洞是CVE-2023-23368,CVSS评分为9.8,是一个命令注入漏洞,可被远程攻击者通过网络用于执行命令。受该漏洞影响的QTS版本是QTS 5.0.X和4.5.x、QuTS hero h5.0.x和h4.5...
QNAP正在紧急修复两个0day,影响全球超8万设备
smellycat000的专栏
04-06 630
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士适用于NAS 设备的多款 QNAP 操作系统中存在两个0day漏洞(CVE-2022-27597和CVE-2022-27598),影响全球8万多台设备。在受影响的4款操作系统中,仍有两款未修复。这些操作系统漏洞由 Sternum 公司的研究员发现,属于内存访问不当漏洞,可导致代码不稳定并导致认证的犯罪分子执行任意代码。CVE-2022-27597...
gitee 奇安信代码卫士使用
SHELLCODE_8BIT的博客
03-01 3919
使用的是个人版,新建分析,支持选择分支,支持扫描的语言:php、java/jsp、python、c/c++,java 版本最高支持 1.8,点击提交。注册 gitee 账号后,push 一个项目,或者 fork 一个别人的项目,这里 fork 了一个 java-sec-code 靶场。下面有详细的污点数据跟踪、漏洞描述信息、修复建议。在项目的 服务 项下,选择奇安信代码卫士。点击漏洞点,显示源码,sink 点高亮。点击任务名,跳转到风险内容页面。详细的修复建议和示例。
Goby漏洞更新 QNAP-NAS authLogin(1),2024年最新面试字节跳动被问Golang屏幕适配方案
2401_84248479的博客
04-13 482
都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
威联通 QTS 5.0.1 发行说明
萌萌哒的小天命的博客
06-19 179
QTS 5.0.1 固件下载
奇安信代码卫士近期获得的部分厂商致谢和研究成果认可(持续更新)
smellycat000的专栏
10-26 494
关于奇安信代码卫士基于奇安信代码安全实验室多年的技术积累,奇安信在国内率先推出了自主可控的源代码安全分析系统——奇安信代码卫士和奇安信开源卫士。奇安信代码卫士是一套静态应用程序安全测试系统,可检测2600多种源代码安全缺陷,支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程语言。奇安信开源卫士是一套集开源软...
qnap jellyfin
09-18
QNAP Jellyfin是一种流媒体服务器软件,可让用户在家庭网络中共享和播放媒体内容。QNAP是一家专门提供网络存储和视频监控解决方案的公司,而Jellyfin则是一个开源的媒体服务器软件项目。 QNAP Jellyfin的使用非常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值