安全研究人员报告了QNAP网络连接存储设备的多个旧模型中的漏洞。由于存在两个零时差漏洞– CVE-2020-2509和CVE-2021-36195,这些设备易于受到未经身份验证的远程攻击。
据Threatpost报道,QNAP TS-231 NAS设备的补丁应在数周内发布。由于漏洞非常严重,因此缺乏技术细节。SAM的团队指出,全面披露“可能会对数以万计的暴露在互联网中的QNAP设备造成重大伤害。”
第一个漏洞位于NAS Web服务器上(默认TCP端口8080)。
研究人员说:“供应商可以通过在一些核心流程和库API中添加输入清理功能来修复此漏洞,但在撰写本文时尚未修复。”
第二个漏洞隐藏在DLNA服务器中(默认TCP端口8200)。团队在研究过程的行为和内部和外部沟通时发现了该缺陷。
该团队还成功地将该漏洞提升为可在远程NAS上执行远程代码。
威联通(QNAP)代表在与Threatpost的对话中说,他们已在最新固件和相关应用程序中发布了此修复程序。“由于严重性级别很高,我们希望发布旧版本的安全更新。预计将在一周内上市。此外,我们希望还有一周的用户更新时间,”该公司补充说。
评论已关闭。
豫公网安备 41010502004035号 
