臺灣資安廠商奧義智慧發現,知名NAS產品QNAP的軟體程式有多項漏洞,可為駭客串接起來發動遠端程式碼執行攻擊,進而影響數十萬QNAP NAS裝置。不過目前漏洞皆已修補。

這批漏洞出現在QNAP的線上相簿程式Photo Station及一些CGI程式中,包括CVE-2019–7192 、CVE-2019–7193、CVE-2019–7194及CVE-2019–7195,CVSS風險評分皆為重大(9.8),其中Photo Station包含3個重大漏洞。CVE-2019–7192為驗證前本機檔案曝露,可使攻擊者繞過登入驗證讀取伺服器上任意檔案,CVE-2019–7194允許攻擊者冒充合法使用者注入任意PHP程式碼,修改連線(session)。CVE-2019–7195則讓攻擊者將連線(session)內容寫入到伺服器任意位置。

奧義智慧研究人員Henry Huang指出,Photo Station上的三項漏洞皆可被駭客串起來進行驗證前根權限遠端程式碼執行(pre-auth root remote code execution)。例如使用第一項漏洞繞過身份驗證,以第二項漏洞透過SMTP電子郵件在PHP連線中,寫入PHP程式碼,或是結合第三項漏洞,將污染的PHP連線內容寫到Photo Station的網頁目錄以形成一個攻擊後門。由於在QNAP的設計下,網頁伺服器具備根權限,因此給了攻擊最高執行權限。

受影響的Photo Station版本包括6.0.3、5.2.11和5.4.9版。由於將近一半的QNAP NAS 產品啟動該應用程式,因此研究人員估計,當時全球可能有超過31萬臺QNAP NAS曝險。所幸去年6月在安全廠商通報後,QNAP已經在去年12月將4項漏洞全數修補。


Advertisement

更多 iThome相關內容