网络附加存储(NAS)设备制造商QNAP最近发布了一份警告声明，称其产品可能容易受到近期Linux漏洞的攻击，这些漏洞可被用来访问受影响的系统。

该漏洞已被跟踪为CVE-2022-0847(CVSS 分数：7.8)，此安全漏洞属于高严重性漏洞，缺陷存在于Linux内核中，可能允许攻击者将任意数据覆盖到任何只读文件中，并允许完全接管易受攻击的机器。一些QNAP产品受到影响：

所有基于QNAP x86的NAS

一些基于QNAP ARM的NAS运行QTS 5.0.x和QuTS hero h5.0.x

以下是该公司的声明：

“据报道，一个本地权限提升漏洞，也称为“脏管道”，会影响运行QTS 5.0.x和QuTS hero h5.0.x的QNAP NAS上的Linux内核。如果被利用，此漏洞允许非特权用户获得管理员权限并注入恶意代码。”

缺陷简介：

CVE标识符：CVE-2022-0847

总结：Linux中的本地权限提升漏洞(脏管道)

安全 ID：QSA-22-05

严重性：高

CVSS评分：7.8

发售日期：2022年3月14日

不受影响的产品：运行QTS 4.x的QNAP NAS

状态：正在调查中

通过利用此漏洞，攻击者可以将任意数据覆盖到Linux内核中的只读文件中，并访问所有易受攻击的系统。

截至2022年2月23日，也就是向Linux内核安全团队报告此漏洞三天后，该问题已在以下Linux版本中得到修复：

Linux版本5.16.11

Linux版本5.15.25

Linux版本5.10.102

该公司补充说：“目前没有针对此漏洞的缓解措施。” “我们建议用户在安全更新可用时立即检查并安装。”

QNAP表示，他们正与安全专家密切并积极合作，以尽快发布安全更新。

除此之外，QNAP将尽快发布安全更新并提供有关该漏洞的更多信息，因为他们正在彻底调查该漏洞。

安全漏洞为网络系统遭到攻击提供了广泛的攻击面，减少安全漏洞，提高软件自身安全，已经成为杀毒软件、防火墙等传统防御手段之外的重要网络安全防护方式。尤其在OWASP TOP 10安全漏洞中，60-70%的安全漏洞类型均可通过源代码静态分析技术检测出来，因此在软件开发期间，不断用静态代码检测工具查找代码缺陷及安全漏洞，提高代码质量，可以有效降低企业遭到网络攻击的风险。

[课程]Linux pwn 探索篇！