QNAP設備存在RCE漏洞
參考網站: 揭露之漏洞存在於QNAP NAS設備所使用之Photo Station相簿程式與共同閘道介面(Common Gateway Interface, CGI)程式中,CVE對應編號包括CVE-2019-7192、CVE-2019-7193、CVE-2019-7194及CVE-2019-7195,CVSS風險評分皆為重大(9.8),其中Photo Station相簿程式即包含3個重大漏洞,CVE-2019-7192可使攻擊者無需身分驗證即可讀取伺服器上任意檔案、CVE-2019-7194可允許攻擊者假冒合法使用者於連線(Session)中注入任意PHP程式碼、CVE-2019-7195則可使攻擊者將連線內容寫入伺服器任意位置。 資安研究人員指出,駭客可串接Photo Station中之3個漏洞,無需身分驗證即可以系統最高權限執行遠端任意程式碼,如可使用第一項漏洞繞過身分驗證,接著以第二項漏洞透過SMTP電子郵件在PHP連線中寫入PHP程式碼,再結合第三項漏洞,將受感染之PHP連線內容寫入Photo Station網頁目錄中以形成一個攻擊後門。此外,基於QNAP軟體之設計,網頁伺服器因具備根(Root)權限,將給予攻擊者最高執行權限進行相關攻擊,受影響之Photo Station版本包括5.2.11、5.4.9及6.0.3版。 由於全球近一半QNAP NAS設備皆有啟動該應用程式,因此研究人員估計,於2019年中發現漏洞時,全球可能有超過31萬台QNAP NAS存在相關風險,所幸去年6月向廠商通報後,QNAP已於去年12月將4個漏洞全數修補完成。 |