QNAP升级漏洞可致攻击者获得管理员权限并注入恶意代码

中科天齐软件源代码安全检测中心

共 997字,需浏览 2分钟

 ·

2022-03-17 10:10

网络附加存储(NAS)设备制造商QNAP最近发布了一份警告声明,称其产品可能容易受到近期Linux漏洞的攻击,这些漏洞可被用来访问受影响的系统。

该漏洞已被跟踪为CVE-2022-0847(CVSS 分数:7.8),此安全漏洞属于高严重性漏洞,缺陷存在于Linux内核中,可能允许攻击者将任意数据覆盖到任何只读文件中,并允许完全接管易受攻击的机器。一些QNAP产品受到影响:

所有基于QNAP x86的NAS
一些基于QNAP ARM的NAS运行QTS 5.0.x和QuTS hero h5.0.x

以下是该公司的声明:

4d9WU4lhLU.png

“据报道,一个本地权限提升漏洞,也称为“脏管道”,会影响运行QTS 5.0.x和QuTS hero h5.0.x的QNAP NAS上的Linux内核。如果被利用,此漏洞允许非特权用户获得管理员权限并注入恶意代码。”

缺陷简介:

CVE标识符:CVE-2022-0847

总结:Linux中的本地权限提升漏洞(脏管道)

安全 ID:QSA-22-05

严重性:高

CVSS评分:7.8

发售日期:2022年3月14日

不受影响的产品:运行QTS 4.x的QNAP NAS

状态:正在调查中

通过利用此漏洞,攻击者可以将任意数据覆盖到Linux内核中的只读文件中,并访问所有易受攻击的系统。

截至2022年2月23日,也就是向Linux内核安全团队报告此漏洞三天后,该问题已在以下Linux版本中得到修复:

Linux版本5.16.11
Linux版本5.15.25
Linux版本5.10.102

该公司补充说:“目前没有针对此漏洞的缓解措施。” “我们建议用户在安全更新可用时立即检查并安装。”

QNAP表示,他们正与安全专家密切并积极合作,以尽快发布安全更新。

除此之外,QNAP将尽快发布安全更新并提供有关该漏洞的更多信息,因为他们正在彻底调查该漏洞。

安全漏洞为网络系统遭到攻击提供了广泛的攻击面,减少安全漏洞,提高软件自身安全,已经成为杀毒软件、防火墙等传统防御手段之外的重要网络安全防护方式。尤其在OWASP TOP 10安全漏洞中,60-70%的安全漏洞类型均可通过源代码静态分析技术检测出来,因此在软件开发期间,不断用静态代码检测工具查找代码缺陷及安全漏洞,提高代码质量,可以有效降低企业遭到网络攻击的风险。

浏览 43
点赞
评论
收藏
分享

手机扫一扫分享

举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

举报