首页
社区
课程
招聘
[分享]QNAP升级漏洞可致攻击者获得管理员权限并注入恶意代码
发表于: 2022-3-17 10:13 4615

[分享]QNAP升级漏洞可致攻击者获得管理员权限并注入恶意代码

2022-3-17 10:13
4615

网络附加存储(NAS)设备制造商QNAP最近发布了一份警告声明,称其产品可能容易受到近期Linux漏洞的攻击,这些漏洞可被用来访问受影响的系统。

 

该漏洞已被跟踪为CVE-2022-0847(CVSS 分数:7.8),此安全漏洞属于高严重性漏洞,缺陷存在于Linux内核中,可能允许攻击者将任意数据覆盖到任何只读文件中,并允许完全接管易受攻击的机器。一些QNAP产品受到影响:

 

所有基于QNAP x86的NAS

 

一些基于QNAP ARM的NAS运行QTS 5.0.x和QuTS hero h5.0.x

 

以下是该公司的声明:

 

“据报道,一个本地权限提升漏洞,也称为“脏管道”,会影响运行QTS 5.0.x和QuTS hero h5.0.x的QNAP NAS上的Linux内核。如果被利用,此漏洞允许非特权用户获得管理员权限并注入恶意代码。”

 

缺陷简介:

 

CVE标识符:CVE-2022-0847

 

总结:Linux中的本地权限提升漏洞(脏管道)

 

安全 ID:QSA-22-05

 

严重性:高

 

CVSS评分:7.8

 

发售日期:2022年3月14日

 

不受影响的产品:运行QTS 4.x的QNAP NAS

 

状态:正在调查中

 

通过利用此漏洞,攻击者可以将任意数据覆盖到Linux内核中的只读文件中,并访问所有易受攻击的系统。

 

截至2022年2月23日,也就是向Linux内核安全团队报告此漏洞三天后,该问题已在以下Linux版本中得到修复:

 

Linux版本5.16.11

 

Linux版本5.15.25

 

Linux版本5.10.102

 

该公司补充说:“目前没有针对此漏洞的缓解措施。” “我们建议用户在安全更新可用时立即检查并安装。”

 

QNAP表示,他们正与安全专家密切并积极合作,以尽快发布安全更新。

 

除此之外,QNAP将尽快发布安全更新并提供有关该漏洞的更多信息,因为他们正在彻底调查该漏洞。

 

安全漏洞为网络系统遭到攻击提供了广泛的攻击面,减少安全漏洞,提高软件自身安全,已经成为杀毒软件、防火墙等传统防御手段之外的重要网络安全防护方式。尤其在OWASP TOP 10安全漏洞中,60-70%的安全漏洞类型均可通过源代码静态分析技术检测出来,因此在软件开发期间,不断用静态代码检测工具查找代码缺陷及安全漏洞,提高代码质量,可以有效降低企业遭到网络攻击的风险。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//