威联通(QNAP)近日警告客户,其部分网络附加存储(NAS)设备(具有非默认配置)容易受到攻击,这些攻击将利用一个存在三年之久的关键PHP漏洞,允许远程代码执行。
QNAP在今天发布的安全公告中解释:“据报道,一个漏洞会影响低于7.1.33的PHP版本7.1.x、低于7.2.24的7.2.x和低于7.3.11的7.3.x。如果被利用,该漏洞允许攻击者远程执行代码。”
“为了保护您的设备,我们建议定期将您的系统更新到最新版本,以便从漏洞修复中受益。”
这家台湾硬件供应商已经为一些受到攻击的操作系统版本(QTS 5.0.1.2034 build 20220515或更高版本和QuTS hero h5.0.0.2069 build 20220614或更高版本)修补了该安全漏洞(CVE-2019-11043)。
但是,这个漏洞会影响正在运行的各种设备:
QTS 5.0.x及更高版本
QTS 4.5.x及更高版本
QuTS hero h5.0.x及更高版本
QuTS hero h4.5.x及更高版本
QuTS cloud c5.0.x及更高版本
QNAP的客户如果想自动将他们的NAS设备更新到最新的固件,需要以管理员身份登录QTS、QuTS hero或QuTScloud,并点击控制面板>系统>固件更新下的“检查更新”按钮。
您也可以在QNAP网站上的支持>下载中心下载更新后,手动升级您的设备。
QNAP设备成为勒索软件的目标
这次警告是在该NAS制造商周四警告其客户保护他们的设备免受部署DeadBolt勒索软件有效载荷的主动攻击之后发出的。
BleepingComputer周末还报道称,根据ID Ransomware平台上提交的样本和多个对其系统进行加密的用户报告,ech0raix勒索软件已开始再次针对易受攻击的QNAP NAS设备。
在QNAP发布关于正在进行的攻击的更多细节之前,这些新的DeadBolt和ech0raix活动中使用的感染载体仍然是未知的。
虽然QNAP正在努力修补所有易受攻击的固件版本中的CVE-2019-11043 PHP漏洞,但您应确保您的设备不暴露在互联网访问中,以此作为阻止外来攻击的一个简单方法。
正如QNAP过去所建议的,拥有暴露在互联网上的NAS设备的用户应采取以下措施来防止远程访问:
关闭路由器端口转发功能:进入路由器管理界面,查看虚拟服务器、NAT或端口转发设置,关闭NAS管理服务端口的端口转发设置(默认为8080和433端口).
禁用QNAP NAS的UPnP功能:进入QTS菜单的myQNAPcloud,单击“自动路由器配置”,取消选择“启用UPnP端口转发”。
QNAP还提供了有关如何关闭远程SSH和Telnet连接、更改系统端口号、更改设备密码以及启用IP和帐户访问保护以进一步保护您的设备的详细信息。
随后,威联通的PSIRT团队更新了原始公告并告诉BleepingComputer,具有默认配置的设备不受CVE-2019-11043的影响。
此外,威联通表示,Deadbolt勒索软件攻击的目标是运行旧系统软件(2017年至2019年之间发布)的设备。
对于QSA-22-20中描述的CVE-2019-11043,要影响我们的用户,需要满足一些先决条件,它们是:
Nginx正在运行,并且
php-fpm正在运行。由于我们的软件默认没有nginx,因此QNAPNAS在默认状态下不受此漏洞的影响。如果Nginx由用户安装并运行,则应尽快应用QSA-22-20提供的更新以降低相关风险。
我们正在更新我们的安全公告QSA-22-20,以反映上述的事实。我们想再次指出,大多数QNAP NAS用户不会受到这个漏洞的影响,因为它的先决条件没有被满足。只有当系统中存在用户安装的nginx时,风险才会存在。