QNAP软件有RCE漏洞,波及数十万台NAS硬件

台湾安全厂商奥义智能发现,知名NAS产品QNAP的软件程序有多项漏洞,可为黑客串联起来发动远程程序代码执行攻击,进而影响数十万QNAP NAS设备。不过目前漏洞皆已修补。

这批漏洞出现在QNAP的线上相册程序Photo Station及一些CGI程序中,包括CVE-2019–7192、CVE-2019–7193、CVE-2019–7194及CVE-2019–7195,CVSS风险评分皆为重大(9.8),其中Photo Station包含3个重大漏洞。CVE-2019–7192为验证前本机文件暴露,可使攻击者绕过登录验证读取服务器上任意文件,CVE-2019–7194允许攻击者冒充合法用户注入任意PHP程序代码,修改连接(session)。CVE-2019–7195则让攻击者将连接(session)内容写入到服务器任意位置。

奥义智能研究人员Henry Huang指出,Photo Station上的三项漏洞皆可被黑客串起来进行验证前根权限远程程序代码执行(pre-auth root remote code execution)。例如使用第一项漏洞绕过身份验证,以第二项漏洞通过SMTP电子邮件在PHP连接中,写入PHP程序代码,或是结合第三项漏洞,将污染的PHP连接内容写道Photo Station的网页目录以形成一个攻击后门。由于在QNAP的设计下,网页服务器具备根权限,因此给了攻击最高执行权限。

受影响的Photo Station版本包括6.0.3、5.2.11和5.4.9版。由于将近一半的QNAP NAS产品启动该应用程序,因此研究人员估计,当时全球可能有超过31万台QNAP NAS曝险。所幸去年6月在安全厂商通报后,QNAP已经在去年12月将4项漏洞全部修补。