警示!QNAP QTS 操作系统和应用程序中存在高危漏洞

VSole2023-11-09 09:36:00

Bleeping Computer 网站消息,QNAP Systems 发布两个关键命令注入漏洞的安全警告。据悉,这两个漏洞会影响 QTS 操作系统的多个版本及其网络连接存储(NAS)设备上的应用程序。

第一个漏洞被追踪为 CVE-2023-23368,严重性评级为 9.8(满分 10 分),是一个命令注入漏洞,远程网络攻击者可利用该漏洞通过网络执行命令,受该安全漏洞影响的 QTS 版本包括 QTS 5.0.x 和 4.5.x、QuTS hero h5.0.x 和 h4.5.x,以及 QuTScloud c5.0.1:

QTS 5.0.1.2376 版本 20230421 及更高版本
QTS 4.5.4.2374 版本 20230416 及更高版本
QTS hero h5.0.1.2376 build 20230421 及更高版本
QuTS hero h4.5.4.2374 版本 20230417 及更高版本
QuTScloud c5.0.1.2374 及更高版本

第二个漏洞被追踪为 CVE-2023-23369,严重性评级为 9.0(满分 10 分),远程网络攻击者可通过该漏洞达到与利用 CVE-2023-23368 漏洞相同的效果。受漏洞影响的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3和4.2.x,多媒体控制台 2.1.x 和 1.4.x,以及媒体流插件 500.1.x 和 500.0.x:

QTS 5.1.0.2399 版本 20230515 及更高版本
QTS 4.3.6.2441 版本 20230621 及更高版本
QTS 4.3.4.2451 版本 20230621 及更高版本
QTS 4.3.3.2420 版本 20230621 及更高版本
QTS 4.2.6 版本 20230621 及更高版本
多媒体控制台 2.1.2 (2023/05/04) 及更高版本
多媒体控制台 1.4.8 (2023/05/05) 及更高版本
媒体流附加组件 500.1.1.2 (2023/06/12) 及更高版本
媒体流附加组件 500.0.0.11 (2023/06/16) 及更高版本

建议:需要更新 QTS、QuTS hero 或 QuTScloud 的话,管理员可登录并导航至控制面板 > 系统 > 固件更新,然后点击实时更新下的 "检查更新",下载并安装最新版本,也可从 QNAP  网站手动下载更新。此外,管理员通过在应用程序中心查找安装并单击“更新”按钮,可以更新多媒体控制台。(更新媒体流插件的过程与上述步骤类似,管理员可以通过搜索应用程序中心来定位该插件)

鉴于NAS 设备经常被用来存储数据,因此命令执行漏洞可能会带来严重影响。网络犯罪分子在“寻找”到新受害目标后,会利用漏洞窃取或加密敏感数据,之后便可以向受害者索要赎金。

值得一提的是,QNAP 设备曾多次成为大规模勒索软件攻击的目标。一年前,Deadbolt 勒索软件团伙利用零日漏洞成功加密暴露在公共互联网上的 NAS 设备。因此,强烈建议 QNAP 用户尽快使用安全可靠的安全更新。

网络安全漏洞
本作品采用《CC 协议》,转载必须注明作者和本文链接
明确各级网络安全责任人。充分利用云原生技术,推进以微服务模式提供各类安全能力组件接口,推进数字电网安全“中枢”所有专业功能组件分层解耦和接口标准化,建立开放生态,支持后续功能叠加演进。增强产品服务供应链入网安全。提升已入网产品、服务供应链应急能力。实战化锤炼网络安全队伍,加强应急指挥与处置能力。
网络安全漏洞(以下简称“漏洞”)作为信息通信网络中在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,随着经济社会信息化、网络化、数字化和智能化程度的加深,对国家网络安全的影响也日益加剧。世界各主要国家和组织为了切实提升国家网络安全防护能力,围绕漏洞的研究、收集和利用,纷纷建立国家级漏洞通报平台或漏洞数据库。日本于2003年开始建设“日本漏洞通报”(JVN)平台;美国于 2005 年开始建设“
利用网络安全漏洞实施攻击的安全事件频发,使网络安全漏洞治理成为保障国家网络安全的重要议程。当前,囿于在漏洞评级指标、漏洞披露政策以及“白帽子”法律责任层面缺乏整体性考量,我国网络安全漏洞治理框架亟待面向“合作主义”转型。为此,需通过行政与司法的合作明晰“白帽子”法律责任的边界,通过行政部门之间的合作搭建网络安全漏洞协同机制,通过行政与公众的合作拓宽社会公众参与漏洞治理的渠道,协力共筑网络安全漏洞
网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。美国从法律和政策层面分别构建网络安全漏洞披露规则,并根据形势不断进行调整,规则设计呈现从负责任披露到协同披露的变化趋势,国家层面统一的网络安全漏洞披露协调和决策机制也在进一步完善中。我国现行立法从产品
本文是在CNVD数据基础上,针对网络安全产品安全漏洞分布的统计分析,不包含非安全类信息系统,以上请读者悉知。数说安全根据CNVD公开数据整理 下面是2010年至今,CNVD披露的漏洞信息中,最受关注的20个高危漏洞,其中国外产品占据8个,国内产品占据12个。数说安全根据CNVD公开数据整理 来源:数说安全
对企业而言,资产清单必须经常更新,并作为活跃文档加以维护。根据漏洞的严重程度、影响范围和可能性,对漏洞进行分类和排序。漏洞修复计划应该包括漏洞修复的时间表、责任人和所需资源。报告既需要包括已修复的漏洞信息,包括检测到的漏洞、严重程度、完成的补救工作以及确认成功解决等;还应该显示未解决的漏洞,以及未解决的具体原因和下一步计划。因此,企业要创建定期漏洞扫描计划,以便持续监控和快速修复漏洞
网络安全基础设施和安全局周二为联邦民事机构推出了两本手册,用于规划和实施网络安全漏洞和事件响应。
具体来说,HARDEN将通过破坏攻击者使用的持久的漏洞可利用模式,并剥夺攻击者的“紧急执行引擎”,来防止其对集成系统的利用。HARDEN分析和工具将破坏UEFI架构所有抽象层上EE行为的可组合性,以防御最新的威胁并预测未来的威胁。SOSA是由空军生命周期管理中心提出的,具有广泛的行业参与其中。SOSA关注的重点领域是对传感器系统的启动过程进行建模和验证,以确保系统在传感器投入运行之前的完整性。
当今世界正处于百年未有之大变局,国际形势风云变幻,推动全球治理体系深刻变革,网络空间治理作为全球治理的全新命题和重要领域,关系着全人类的命运。
VSole
网络安全专家