QNAP設備存在RCE漏洞

• 發布日期：109-05-21
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 QNAP設備存在RCE漏洞https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16398
知名網路附接儲存器(Network Attached Storage, NAS)廠商QNAP之產品有多項漏洞，駭客可串接多個漏洞以發起遠端執行任意程式碼(Remote Code Execution)攻擊，進而影響全球數十萬台QNAP NAS設備，目前QNAP針對遭揭露之漏洞皆已完成修補。

揭露之漏洞存在於QNAP NAS設備所使用之Photo Station相簿程式與共同閘道介面(Common Gateway Interface, CGI)程式中，CVE對應編號包括CVE-2019-7192、CVE-2019-7193、CVE-2019-7194及CVE-2019-7195，CVSS風險評分皆為重大(9.8)，其中Photo Station相簿程式即包含3個重大漏洞，CVE-2019-7192可使攻擊者無需身分驗證即可讀取伺服器上任意檔案、CVE-2019-7194可允許攻擊者假冒合法使用者於連線(Session)中注入任意PHP程式碼、CVE-2019-7195則可使攻擊者將連線內容寫入伺服器任意位置。

資安研究人員指出，駭客可串接Photo Station中之3個漏洞，無需身分驗證即可以系統最高權限執行遠端任意程式碼，如可使用第一項漏洞繞過身分驗證，接著以第二項漏洞透過SMTP電子郵件在PHP連線中寫入PHP程式碼，再結合第三項漏洞，將受感染之PHP連線內容寫入Photo Station網頁目錄中以形成一個攻擊後門。此外，基於QNAP軟體之設計，網頁伺服器因具備根(Root)權限，將給予攻擊者最高執行權限進行相關攻擊，受影響之Photo Station版本包括5.2.11、5.4.9及6.0.3版。

由於全球近一半QNAP NAS設備皆有啟動該應用程式，因此研究人員估計，於2019年中發現漏洞時，全球可能有超過31萬台QNAP NAS存在相關風險，所幸去年6月向廠商通報後，QNAP已於去年12月將4個漏洞全數修補完成。