QNAP 已要求客户采取缓解措施,阻止利用 Apache HTTP Server 安全漏洞影响其网络附加存储 (NAS) 设备的尝试。
这些漏洞(被跟踪为CVE-2022-22721和CVE-2022-23943)被标记为严重性基本评分为 9.8/10,并影响运行 Apache HTTP Server 2.4.52 及更早版本的系统。
正如 NVD 分析师的评估 [ 1 , 2 ] 所揭示的,未经身份验证的攻击者可以在低复杂度攻击中远程利用这些漏洞,而无需用户交互。
QNAP 目前正在调查这两个安全漏洞,并计划在不久的将来发布安全更新。
“CVE-2022-22721 影响 32 位 QNAP NAS 型号,CVE-2022-23943 影响在其 QNAP 设备上的 Apache HTTP Server 中启用 mod_sed 的用户,”这家台湾 NAS 制造商解释说。
“我们正在彻底调查影响 QNAP 产品的两个漏洞,并将尽快发布安全更新。”
尚无补丁,但有缓解措施
在补丁可用之前,QNAP 建议客户保留 LimitXMLRequestBody 的默认值“1M”以缓解 CVE-2022-22721 攻击,并禁用 mod_sed 作为 CVE-2022-23943 缓解。
该公司还指出,在运行 QTS 操作系统的 NAS 设备上,Apache HTTP Server 默认禁用 mod_sed 进程内内容过滤器。
QNAP 还致力于安全更新,以解决被称为“脏管道”的高严重性 Linux 漏洞,该漏洞使具有本地访问权限的攻击者能够获得 root 权限。
运行多个版本的 QTS、QuTS hero 和 QuTScloud 的 NAS 设备也受到高严重性 OpenSSL 漏洞的影响,威胁者可以利用该漏洞触发拒绝服务 (DoS) 状态并远程使易受攻击的设备崩溃。
虽然运行 QuTScloud c5.0.x 的设备的 Dirty Pipe 漏洞仍有待修复,但 QNAP 尚未发布针对其三周前警告客户的 OpenSSL DoS 漏洞的补丁。
该公司表示,这两个漏洞没有缓解措施,并建议客户“在安全更新可用时立即检查并安装”
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号