近期，QNAP發(fā)布了幾項安全公告，其中一項針對嚴重的安全問題，該問題允許在易受攻擊的QVR系統(tǒng)上遠程執(zhí)行任意命令，該公司的視頻監(jiān)控解決方案托管在NAS設(shè)備上。QVR IP視頻監(jiān)控系統(tǒng)支持多重頻道和跨平臺視頻解碼，專為監(jiān)控家庭和辦公環(huán)境而設(shè)計。該漏洞編號為CVE-2022-27588，嚴重程度得分為9.8。它會影響早于5.1.6 build 20220401的QVR版本。

根據(jù)QNAP發(fā)布的公告，該漏洞會影響運行QVR的QNAP VS系列NVR。如果被利用，此漏洞允許遠程攻擊者運行任意命令。這種類型的安全漏洞允許攻擊者在目標上執(zhí)行命令以更改設(shè)置、訪問敏感信息或控制設(shè)備。它甚至還可以被當成深入目標網(wǎng)絡(luò)的踏板。正如我們過去所見，當漏洞利用公開可用時，QNAP系統(tǒng)中的關(guān)鍵漏洞幾乎立即在網(wǎng)絡(luò)攻擊中被利用。

目前BleepingComputer表示已與QNAP聯(lián)系，要求提供有關(guān) CVE-2022-27588是否被積極利用的信息，并將根據(jù)公司的回應(yīng)做出及時報道。

除了QVR 中的嚴重問題外，QNAP還解決了其他產(chǎn)品中的8個漏洞，嚴重程度介于中到高之間。

以下是修復(fù)的完整列表：

• CVE-2022-27588：QNAP QVR 中的嚴重RCE
• CVE-2021-38693：thttpd中的中等嚴重性路徑遍歷漏洞，影響 QTS、QuTS hero 和 QuTScloud。
• CVE-2021-44055：中等嚴重性缺陷，允許遠程訪問某些 Video Station 版本中的數(shù)據(jù)。
• CVE-2021-44056：中等嚴重性缺陷，允許遠程訪問某些 Video Station 版本中的數(shù)據(jù)。
• CVE-2021-44057：運行 Photo Station 的 QNAP NAS 中的高危漏洞。
• CVE-2021-44051：高嚴重性命令注入漏洞，允許在 QTS、QuTS hero 和 QuTScloud 中執(zhí)行任意遠程命令。
• CVE-2021-44052：高嚴重性鏈接解析漏洞，允許在 QTS、QuTS hero 和 QuTScloud 中執(zhí)行惡意文件操作。
• CVE-2021-44053：高嚴重性跨站點腳本 (XSS) 漏洞，允許在 QTS、QuTS hero 和 QuTScloud 中進行遠程代碼注入。
• CVE-2021-44054：高嚴重性開放重定向漏洞，允許用戶重定向到 QTS、QuTS hero 和 QuTScloud 中帶有惡意軟件的頁面。

目前，QNAP尚未提供緩解指南，因此建議您將軟件更新到最新的可用版本。

參考來源：https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-qvr-remote-command-execution-vulnerability/