QNAP NAS与QuRouter安全漏洞警告

重点摘要

QNAP的网络附加存储NAS和QuRouter解决方案存在严重安全漏洞，这可能使远程攻击者执行任意命令，影响系统的安全性。QNAP敦促用户尽快更新，以修复这些问题。

来源：PeopleImagescom Yuri A / Shutterstock

网络和软件解决方案提供商QNAP，客户包括知名IT服务公司如Accenture、Cognizant和Infosys，正在呼吁用户对其网络附加存储NAS和路由器服务中的重大安全缺陷进行修复。

这些问题包括缺失身份验证和操作系统命令注入漏洞，这可能使远程攻击者能够在受影响的系统上执行任意指令。

QNAP在周末发布的安全报告中表示：“多个漏洞影响了Notes Station 3和QuRouter。为了修复漏洞，我们建议更新Notes Station 3以及QuRouter固件至最新版本。”

关键的NAS读取和代码执行漏洞

追踪编号为CVE202438643的漏洞是一个关键功能的身份验证缺失漏洞，影响QNAP NAS设备的笔记和协作应用Notes Station 3，可能使远程攻击者非法访问受影响的系统。

该漏洞的CVSS v3严重性评分为98满分10分，影响Notes Station 3版本39x，并已在397及之后的版本中得到修复。除了IT服务提供商，QNAP的NAS服务还为媒体、娱乐、医疗保健和教育等多个行业提供可靠的数据存储硬件。

影响上述应用程序相同版本的另一个服务器端请求伪造SSRF漏洞，追踪编号为CVE202438645，允许已通过CVE202438643漏洞入侵的远程攻击者读取完整应用程序数据。该漏洞的CVSS v4评分为94/10。

同样在同一安全报告中，CVE202438644是一个命令注入漏洞，允许拥有相同访问权限的远程攻击者在受影响系统上执行任意代码。该漏洞的严重性评分为88/10，但结合其他两个漏洞，攻击者可能完全控制系统，因此构成了一组迫切需要修复的Notes Station 3漏洞。

路由系统遭遇关键的代码注入漏洞

在同时发布的另一个报告中，QNAP警告用户其QuRouter系列网络设备存在关键漏洞。

QuRouter是为管理QNAP高性能路由器而设计的一系列网络设备和专用操作系统QuRouter OS，提供网络管理、安全和性能优化功能，面向家庭用户和企业。

追踪编号为CVE202448860的漏洞是一个QuRouterOS命令注入漏洞，允许远程攻击者在主机系统上执行命令。该漏洞的CVSS v3评分为98，属于严重级别。

该漏洞影响QuRouter版本24x，并已在QuRouter 243106及之后的版本中修复。QNAP的报告还指出，另一个影响相同版本的漏洞CVE202448861使本地攻击者能够在受影响系统上执行命令，其严重性评分为78。