QNAP升級漏洞可致攻擊者獲得管理員許可權並注入惡意程式碼

網路附加儲存(NAS)裝置製造商QNAP最近釋出了一份警告宣告，稱其產品可能容易受到近期Linux漏洞的攻擊，這些漏洞可被用來訪問受影響的系統。

該漏洞已被跟蹤為CVE-2022-0847(CVSS 分數：7.8)，此安全漏洞屬於高嚴重性漏洞，缺陷存在於Linux核心中，可能允許攻擊者將任意資料覆蓋到任何只讀檔案中，並允許完全接管易受攻擊的機器。一些QNAP產品受到影響：

• 所有基於QNAP x86的NAS

• 一些基於QNAP ARM的NAS執行QTS 5.0.x和QuTS hero h5.0.x

以下是該公司的宣告：

“據報導，一個本地許可權提升漏洞，也稱為“髒管道”，會影響執行QTS 5.0.x和QuTS hero h5.0.x的QNAP NAS上的Linux核心。如果被利用，此漏洞允許非特權使用者獲得管理員許可權並注入惡意程式碼。”

缺陷簡介：

CVE識別符號：CVE-2022-0847

總結：Linux中的本地許可權提升漏洞(髒管道)

安全 ID：QSA-22-05

嚴重性：高

CVSS評分：7.8

發售日期：2022年3月14日

不受影響的產品：執行QTS 4.x的QNAP NAS

狀態：正在調查中

透過利用此漏洞，攻擊者可以將任意資料覆蓋到Linux核心中的只讀檔案中，並訪問所有易受攻擊的系統。

截至2022年2月23日，也就是向Linux核心安全團隊報告此漏洞三天後，該問題已在以下Linux版本中得到修復：-

• Linux版本5.16.11

• Linux版本5.15.25

• Linux版本5.10.102

該公司補充說：“目前沒有針對此漏洞的緩解措施。” “我們建議使用者在安全更新可用時立即檢查並安裝。”

QNAP表示，他們正與安全專家密切並積極合作，以儘快釋出安全更新。

除此之外，QNAP將盡快釋出安全更新並提供有關該漏洞的更多資訊，因為他們正在徹底調查該漏洞。

安全漏洞為網路系統遭到攻擊提供了廣泛的攻擊面，減少安全漏洞，提高軟體自身安全，已經成為防毒軟體、防火牆等傳統防禦手段之外的重要網路安全防護方式。尤其在OWASP TOP 10安全漏洞中，60-70%的安全漏洞型別均可透過原始碼靜態分析技術檢測出來，因此在軟體開發期間，不斷用 靜態程式碼檢測工具查詢程式碼缺陷及安全漏洞，提高程式碼質量，可以有效降低企業遭到網路攻擊的風險。