Bleeping Computer 網(wǎng)站消息，QNAP Systems 發(fā)布兩個(gè)關(guān)鍵命令注入漏洞的安全警告。據(jù)悉，這兩個(gè)漏洞會(huì)影響 QTS 操作系統(tǒng)的多個(gè)版本及其網(wǎng)絡(luò)連接存儲(chǔ)（NAS）設(shè)備上的應(yīng)用程序。

第一個(gè)漏洞被追蹤為 CVE-2023-23368，嚴(yán)重性評級為 9.8（滿分 10 分），是一個(gè)命令注入漏洞，遠(yuǎn)程網(wǎng)絡(luò)攻擊者可利用該漏洞通過網(wǎng)絡(luò)執(zhí)行命令，受該安全漏洞影響的 QTS 版本包括 QTS 5.0.x 和 4.5.x、QuTS hero h5.0.x 和 h4.5.x，以及 QuTScloud c5.0.1：

• QTS 5.0.1.2376 版本 20230421 及更高版本
• QTS 4.5.4.2374 版本 20230416 及更高版本
• QTS hero h5.0.1.2376 build 20230421 及更高版本
• QuTS hero h4.5.4.2374 版本 20230417 及更高版本
• QuTScloud c5.0.1.2374 及更高版本

第二個(gè)漏洞被追蹤為 CVE-2023-23369，嚴(yán)重性評級為 9.0（滿分 10 分），遠(yuǎn)程網(wǎng)絡(luò)攻擊者可通過該漏洞達(dá)到與利用 CVE-2023-23368 漏洞相同的效果。受漏洞影響的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3和4.2.x，多媒體控制臺 2.1.x 和 1.4.x，以及媒體流插件 500.1.x 和 500.0.x：

• QTS 5.1.0.2399 版本 20230515 及更高版本
• QTS 4.3.6.2441 版本 20230621 及更高版本
• QTS 4.3.4.2451 版本 20230621 及更高版本
• QTS 4.3.3.2420 版本 20230621 及更高版本
• QTS 4.2.6 版本 20230621 及更高版本
• 多媒體控制臺 2.1.2 (2023/05/04) 及更高版本
• 多媒體控制臺 1.4.8 (2023/05/05) 及更高版本
• 媒體流附加組件 500.1.1.2 (2023/06/12) 及更高版本
• 媒體流附加組件 500.0.0.11 (2023/06/16) 及更高版本

建議：需要更新 QTS、QuTS hero 或 QuTScloud 的話，管理員可登錄并導(dǎo)航至控制面板 > 系統(tǒng) > 固件更新，然后點(diǎn)擊實(shí)時(shí)更新下的 "檢查更新"，下載并安裝最新版本，也可從 QNAP   網(wǎng)站手動(dòng)下載更新。此外，管理員通過在應(yīng)用程序中心查找安裝并單擊“更新”按鈕，可以更新多媒體控制臺。（更新媒體流插件的過程與上述步驟類似，管理員可以通過搜索應(yīng)用程序中心來定位該插件）

鑒于NAS 設(shè)備經(jīng)常被用來存儲(chǔ)數(shù)據(jù)，因此命令執(zhí)行漏洞可能會(huì)帶來嚴(yán)重影響。網(wǎng)絡(luò)犯罪分子在“尋找”到新受害目標(biāo)后，會(huì)利用漏洞竊取或加密敏感數(shù)據(jù)，之后便可以向受害者索要贖金。

值得一提的是，QNAP 設(shè)備曾多次成為大規(guī)模勒索軟件攻擊的目標(biāo)。一年前，Deadbolt 勒索軟件團(tuán)伙利用零日漏洞成功加密暴露在公共互聯(lián)網(wǎng)上的 NAS 設(shè)備。因此，強(qiáng)烈建議 QNAP 用戶盡快使用安全可靠的安全更新。

文章來源：https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-command-injection-flaws-in-qts-os-apps/#google_vignette