QNAP升级漏洞可致攻击者获得管理员权限并注入恶意代码
共 997字,需浏览 2分钟
·
2022-03-17 10:10
网络附加存储(NAS)设备制造商QNAP最近发布了一份警告声明,称其产品可能容易受到近期Linux漏洞的攻击,这些漏洞可被用来访问受影响的系统。
该漏洞已被跟踪为CVE-2022-0847(CVSS 分数:7.8),此安全漏洞属于高严重性漏洞,缺陷存在于Linux内核中,可能允许攻击者将任意数据覆盖到任何只读文件中,并允许完全接管易受攻击的机器。一些QNAP产品受到影响:
所有基于QNAP x86的NAS
一些基于QNAP ARM的NAS运行QTS 5.0.x和QuTS hero h5.0.x
以下是该公司的声明:
“据报道,一个本地权限提升漏洞,也称为“脏管道”,会影响运行QTS 5.0.x和QuTS hero h5.0.x的QNAP NAS上的Linux内核。如果被利用,此漏洞允许非特权用户获得管理员权限并注入恶意代码。”
缺陷简介:
CVE标识符:CVE-2022-0847
总结:Linux中的本地权限提升漏洞(脏管道)
安全 ID:QSA-22-05
严重性:高
CVSS评分:7.8
发售日期:2022年3月14日
不受影响的产品:运行QTS 4.x的QNAP NAS
状态:正在调查中
通过利用此漏洞,攻击者可以将任意数据覆盖到Linux内核中的只读文件中,并访问所有易受攻击的系统。
截至2022年2月23日,也就是向Linux内核安全团队报告此漏洞三天后,该问题已在以下Linux版本中得到修复:
Linux版本5.16.11
Linux版本5.15.25
Linux版本5.10.102
该公司补充说:“目前没有针对此漏洞的缓解措施。” “我们建议用户在安全更新可用时立即检查并安装。”
QNAP表示,他们正与安全专家密切并积极合作,以尽快发布安全更新。
除此之外,QNAP将尽快发布安全更新并提供有关该漏洞的更多信息,因为他们正在彻底调查该漏洞。
安全漏洞为网络系统遭到攻击提供了广泛的攻击面,减少安全漏洞,提高软件自身安全,已经成为杀毒软件、防火墙等传统防御手段之外的重要网络安全防护方式。尤其在OWASP TOP 10安全漏洞中,60-70%的安全漏洞类型均可通过源代码静态分析技术检测出来,因此在软件开发期间,不断用静态代码检测工具查找代码缺陷及安全漏洞,提高代码质量,可以有效降低企业遭到网络攻击的风险。