继5月间被爆影响数十万台NAS的软件远程程序代码执行(RCE)漏洞后,本周又有研究人员发现,NAS厂商Qnap的设备固件也有RCE漏洞,而且可能已遭到不明人士刺探中。
漏洞是由奇虎360发现。它存在QNAP一只注销用的CGI程序authLogout.cgi。在用户注销时,它会根据cookie的字段名称选择相应的注销函数。其中QPS_SID、QMS_SID和QMMS_SID注销函数并未过滤特殊字符,即直接使用snprintf函数拼接curl指令字符串,并调用system函数执行该字符串,而引发指令注入。这允许未经验证的攻击者利用这只CGI程序,由远程执行任意程序代码。
受影响固件包括4.2.0到4.2.4。研究人员于5月通报QNAP后,Qnap产品安全事件应变小组也做出回复,他们表示,该漏洞在先前更新时已经修正,但在网络上仍有设备未修补,而我们查看该厂商的固件,也的确发现他们在2017年7月发行的4.3.3版已经修正了这个问题。
虽然网络上尚未见到针对该漏洞的概念验证攻击程序,但研究人员发现已经有不明人士悄悄由2个IP地址送出相同的程序代码,不过究竟是植入僵尸网络程序不得而知,并有人自其他IP进行渗透扫描。因此研究人员呼吁用户应尽快安装最新版本固件。
QNAP 5月间也被披露线上相册程序及CGI程序出现多项漏洞,可被串联起来远程执行程序代码。Bleeping Computer则报道,还有一只勒索软件eChoraix自2019年以来,即锁定Qnap NAS设备发动攻击。
2933
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
