多个网络附加存储 (NAS) 设备的优质网络设备提供商 (QNAP) 操作系统 (OS) 中的两个零日漏洞正在影响全球约 80,000 台设备。对于四个受影响的操作系统中的两个,它们仍未修补。
QNAP 提供用于物联网 (IoT) 存储、网络和智能视频的设备和软件。 Sternum 的研究人员发现的操作系统错误是内存访问违规,这可能会导致代码不稳定,并可能为经过身份验证的网络犯罪分子提供执行任意代码的路径。
这些漏洞在 CVE-2022-27597 和 CVE-2022-27598 下跟踪,影响 QTS、QuTS Hero、QuTScloud 和 QVP OS, 根据胸骨,并已在 QTS 版本 5.0.1.2346 build 20230322(及更高版本)和 QuTS Hero 版本 h5.0.1.2348 build 20230324(及更高版本)中修复。 QuTScloud 和 QVP 操作系统仍未修补,但 QNAP 表示正在“紧急修复”这些缺陷。
Sternum 研究人员解释说,内存访问违规会影响 QNAP 设备的性能和安全性。
“从性能的角度来看,它们可能会导致稳定性问题和不可预测的代码行为,”Sternum 的安全研究总监 Amit Serper 向 Dark Reading 讲述了这些发现。 “从安全角度来看,它们可以被恶意威胁者用来执行任意代码。”
QNAP 安全咨询 补充道,“如果被利用,该漏洞允许经过身份验证的远程用户获取秘密值。”
虽然这些漏洞被评为“低严重性”,而且到目前为止,斯特纳姆的研究人员还没有看到它们在野外被利用,但迅速修复补丁很重要—— 威联通用户 仍然是网络犯罪分子最喜欢的目标。
为什么 QNAP 网络攻击者是 Catnip?
DeadBolt 勒索软件组织 特别是在一系列攻击中发现了一系列零日漏洞的利用 针对 QNAP 的广泛网络活动 仅 2022 年的用户, 五月定期出现、六月和九月..
Vulcan Cyber 的高级技术工程师 Mark Parkin 表示,DeadBolt 显然下定决心要努力寻找并利用 QNAP 缺陷,最好是关键的零日漏洞。
“有时有人说,在目标中发现一个漏洞会导致人们寻找更多漏洞,”帕金解释道。 “这里的问题是,他们在寻找时发现了更多。这几乎让你怀疑攻击者是否无法访问源代码,或者无法通过其他方式获得内部线索。”
撇开共谋嫌疑不谈,组织有责任确保其高度针对性的 QNAP 系统是最新的,特别是考虑到新漏洞会以一定的频率被发现。除了 Sternum 的最新发现外,二月份的用户 威联通 QTS 操作系统 收到关于严重 SQL 注入问题的警报,CVSS 评分为 9.8。这些披露只会进一步扩大攻击面。
对于最新的漏洞,系统没有可用补丁的用户应该采用强大的端点检测和响应(EDR)解决方案并寻找妥协的迹象。由于网络攻击者需要进行身份验证,因此对谁有权访问易受攻击的系统进行审核并提供额外的身份验证保护也有助于减轻攻击。
一位研究人员警告说,即使有补丁可用,真正锁定设备可能也需要一些公司改变思维方式。
“QNAP 设备对网络犯罪分子非常有吸引力,他们的策略是向大量受害者索要少量资金。”Viakoo 首席执行官 Bud Broomhead 说道。 “由于 QNAP 设备以及许多其他物联网设备主要在 IT 之外进行管理,因此它们经常配置错误、不受防火墙保护且未打补丁。”
他补充道,“这些设备通常对企业 IT 和安全团队来说是不可见的,并且当它们不合规时(例如使用过时且不安全的固件),也不会受到审核或观察。”
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.darkreading.com/vulnerabilities-threats/qnap-zero-days-80k-devices-vulnerable-cyberattack
- :是
- $UP
- 000
- 1
- 2022
- 7
- 8
- 9
- a
- 关于
- ACCESS
- 根据
- 增加
- 额外
- 添加
- 驳
- 允许
- 单
- 其中
- 量
- 和
- 家电
- 保健
- AS
- At
- 攻击
- 吸引力
- 审计
- 审计
- 认证
- 认证
- 可使用
- BE
- 因为
- 作为
- 虫子
- 建立
- by
- CAN
- 案件
- 例
- 原因
- CEO
- 明确地
- 码
- 未来
- 公司
- 符合
- 妥协
- 继续
- 公司
- 可以
- 危急
- 网络
- 网络攻击
- 网络犯罪
- 网络罪犯
- 黑暗
- 暗读
- 日期
- 死
- 检测
- 设备
- 副总经理
- 发现
- 做
- 向下
- 努力
- 端点
- 工程师
- 特别
- 估计
- 甚至
- 执行
- 执行
- 说明
- 介绍
- 剥削
- 秋季
- 喜爱
- 二月
- 寻找
- 防火墙
- 固定
- 缺陷
- 针对
- 频率
- 止
- 进一步
- 婴儿车
- 得到
- 越来越
- 特定
- 有
- 帮助
- 相关信息
- 英雄
- 高度
- HTTPS
- 影响力故事
- 影响
- in
- 指标
- 网络
- 物联网
- 物联网
- 物联网设备
- 问题
- 问题
- IT
- 大
- 在很大程度上
- 铅
- 离开
- 光
- 看
- 寻找
- 使
- 制作
- 管理
- 许多
- 标记
- 事项
- 最大宽度
- 内存
- 可能
- 思维定势
- 减轻
- 钱
- 更多
- 最先进的
- 需求
- 网络
- 工业网络
- 全新
- 数
- of
- on
- 一
- 操作
- 操作系统
- 组织
- OS
- 其他名称
- 学校以外
- 打补丁
- 补丁
- 径
- 员工
- 性能
- 透视
- 图片
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 观点
- 保护
- 提供
- 提供者
- 提供
- 优
- 把
- QNAP
- 质量
- 很快
- 范围
- 勒索
- 阅读
- 最近
- 经常
- 留
- 远程
- 要求
- 研究
- 研究员
- 研究人员
- 响应
- s
- 说
- 说
- 得分了
- 秘密
- 保安
- 前辈
- 九月
- 系列
- 集
- 几个
- 转移
- 应该
- 小
- 智能
- So
- 至今
- 软件
- 方案,
- 一些
- 来源
- 源代码
- 稳定性
- 存储
- 策略
- 强烈
- 这样
- 磁化面
- 产品
- 目标
- 针对
- 队
- 文案
- 告诉
- 这
- 其
- 他们
- 博曼
- 事
- 威胁
- 至
- 跟踪时
- 下
- 变幻莫测
- 用户
- 价值观
- 版本
- 受害者
- 视频
- 查看
- 违反
- 火神
- 漏洞
- 漏洞
- 脆弱
- 警告
- 方法..
- 井
- 这
- WHO
- Wild!!!
- 将
- 也完全不需要
- 全世界
- 将
- 完全
- 和风网
- 零日漏洞