Qnap 4.3.3版示意

5月間被爆影響數十萬臺NAS的軟體遠端程式碼執行(RCE)漏洞後,本周又有研究人員發現,NAS廠商Qnap的裝置韌體也有RCE漏洞,而且可能已遭到不明人士刺探中。

漏洞是由奇虎360發現。它存在QNAP一隻登出用的CGI程式authLogout.cgi。在用戶登出時,它會根據cookie的欄位名稱選擇相應的登出函式。其中QPS_SID、QMS_SID和QMMS_SID登出函式並未過濾特殊字元,即直接使用snprintf 函數拼接curl指令字串,並呼叫system函式執行該字串,而引發指令注入。這允許未經驗證的攻擊者利用這隻CGI程式,由遠端執行任意程式碼。

受影響韌體包括4.2.0到4.2.4。研究人員於5月通報QNAP後,Qnap產品資安事件應變小組也做出回覆,他們表示,該漏洞在先前更新時已經修正,但在網路上仍有設備未修補,而我們查看該廠商的韌體,也的確發現他們在2017年7月發行的4.3.3版已經修正了這個問題。

雖然網路上尚未見到針對該漏洞的概念驗證攻擊程式,但研究人員發現已經有不明人士悄悄由2個IP位址送出相同的程式碼,不過究竟是植入僵屍網路程式不得而知,並有人自其他IP進行滲透掃瞄。因此研究人員呼籲用戶應儘速安裝最新版本韌體。

QNAP 5月間也被揭露線上相簿程式及CGI程式出現多項漏洞,可被串接起來遠端執行程式碼。Bleeping Computer則報導,還有一隻勒索軟體eChoraix自2019年以來,即鎖定Qnap NAS裝置發動攻擊。


熱門新聞

Advertisement