Terramaster TOS 命令注入漏洞(CVE-2022-24990).Centos7漏洞扫描

最近公司上线一个小程序业务 准备发布nginx服务器到外网时 要先漏洞扫描,然后检测到了这个漏洞   CVE-2022-24990。

 

Terramaster TOS 命令注入漏洞(CVE-2022-24990)[原理扫描]   

版本:Terramaster TOS 4.2.29 

介绍:Terramaster TOS是中国铁威马(Terramaster)公司的一款基于Linux平台的,专用于erraMaster云存储NAS服务器的操作系统。 <br/>Terramaster TOS 4.2.29版本存在命令注入漏洞,该漏洞源于api.php脚本中的webNasIPS 组件中的输入验证不正确。未经身份验证的攻击者可以发送特殊数据利用该漏洞并在目标系统上执行任意命令。

给出的建议是: 去目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.terra-master.com/jp/tos/

但经本人查了很多资料  又去官网看了后  TOS其实是一种服务系统来的 。去他们官网下的更新包也没看到具体更新方法。而我们的centos 7服务器压根没用到这个服务。真的被这个漏洞折腾的够呛。  翻遍了服务器所有服务都没看到有跟Terramaster或者 TOS相关的。又是升级nginx服务啥的都不行  最后和同事找到了是一个静态网页搞得鬼。

解决方法:

最后是在nginx/html目录下找到了个index.html的一个静态网页 。界面如下

原目录下文件nginx/html/index.html    将index.html改名为index.html123  即改为非.html后缀就行。或者没用的话 可以删掉这个index.html文件也可以。后来漏扫就恢复正常了。

结论:结论该漏洞问题应该是误报导致的 ,所有服务中都没有用到Terramaster TOS 相关服务。漏扫应该是检测到index.html跟CVE-2022-24990漏洞特征库相似就报漏洞了。

有不懂的小伙伴可以评论区留言。

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liuxp2021

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值