继上次出现远程代码执行漏洞后,台湾NAS公司威联通(QNAP)又一次发布更新,以修复影响其网络附加存储(NAS)设备的严重安全漏洞,该漏洞可能导致任意代码注入。
该漏洞被追踪为CVE-2022-27596,在CVSS评分表中被评为9.8分(满分10分)。它影响QTS 5.0.1和QuTS hero h5.0.1。
“如果被利用,这个漏洞允许远程攻击者注入恶意代码,”QNAP在周一发布的一份公告中说。
围绕该缺陷的确切技术细节尚不清楚,但NIST国家漏洞数据库(NVD)已将其归类为SQL注入漏洞。
这意味着攻击者可以发送精心构造的SQL查询语句,这样它们就可以被武器化以绕过安全控制,并访问或更改有价值的信息。
“就像可以读取敏感信息一样,也可以通过SQL注入攻击更改甚至删除此信息。”MITRE表示。
该漏洞已在QTS 5.0.1.2234 build 20221201及以后的版本,以及QuTS hero h5.0.1.2248 build 20221215及以后的版本中得到解决。
暴露的QNAP设备中的零日漏洞已被DeadBolt勒索软件行为者用来入侵目标网络,因此必须更新到最新版本,以减轻潜在威胁。
要应用更新,建议用户以管理员身份登录QTS或QuTS hero,导航到控制面板>系统>固件更新,然后选择“实时更新”部分下的“检查更新”。