QNAP发布了一系列修复程序,解决了影响QTS和QuTS hero系统的严重缺陷,这些缺陷可能被利用在其网络附加存储(NAS)设备上执行代码。
影响QTS 5.1.x和QuTS hero h5.1.x的问题如下:
- CVE-2024-21902:关键资源漏洞的不正确权限分配,允许经过身份验证的用户通过网络读取或修改资源。
- CVE-2024-27127:双重释放漏洞,允许经过身份验证的用户通过网络执行任意代码。
- CVE-2024-27128、CVE-2024-27129和CVE-2024-27130:一组缓冲区溢出漏洞,允许经过身份验证的用户通过网络执行任意代码。
这些漏洞需要在NAS设备上拥有有效账户,已在QTS 5.1.7.277020240520和QuTS hero h5.1.7.277020240520版本中修复。watchTowr Labs的Aliz Hammond于2024年1月3日发现并报告了这些缺陷。
QNAP表示,CVE-2024-27130漏洞由于No_Support_ACL函数中不安全使用’strcpy’函数引起,该函数由share.cgi脚本中的get_file_size请求使用,涉及与外部用户共享媒体时的一个参数’ssid’。
QNAP指出,所有QTS 4.x和5.x版本都启用了地址空间布局随机化(ASLR),这使得攻击者难以利用这些漏洞。
这些补丁在QNAP总部位于新加坡的网络安全公司发布了15个漏洞的详细信息四天后发布,这些漏洞包括四个可以绕过身份验证并执行任意代码的漏洞。
这些漏洞编号为CVE-2023-50361至CVE-2023-50364,在2023年12月披露,2024年4月25日由QNAP修复。
值得注意的是,QNAP尚未发布CVE-2024-27131的修复程序,watchTowr将其描述为“通过x-forwarded-for日志欺骗,允许用户导致下载被记录为从任意源请求”。QNAP表示这不是一个实际漏洞,而是需要更改QuLog中心内UI规范的设计选择,预计将在QTS 5.2.0中修复。
watchTowr报告的其他四个漏洞的详细信息目前被扣留,三个正在审查中,第四个已分配CVE ID,并将在即将发布的版本中修复。watchTowr表示,由于QNAP未能在90天公开披露期内解决这些缺陷,他们被迫公开这些缺陷,并在多次延期后给出详细信息。
作为回应,QNAP对协调问题表示遗憾,并承诺在45天内发布高或临界严重度缺陷的修复程序,中等严重度漏洞的修复将在90天内发布。
QNAP补充道:“我们对可能造成的任何不便表示歉意,并致力于不断加强我们的安全措施。我们的目标是与全球研究人员密切合作,以确保我们产品的最高质量安全性。”
由于过去勒索软件攻击者利用了QNAP NAS设备的漏洞,建议用户尽快更新到最新版本的QTS和QuTS hero,以减轻潜在威胁。
