一、漏洞概述
|
漏洞名稱 |
QNAP QTS & QuTS Hero原型汙染漏洞 |
||
|
CVE ID |
CVE-2023-39296 |
||
|
漏洞類型 |
原型汙染 |
發現時間 |
2024-01-09 |
|
漏洞評分 |
7.5 |
漏洞等級 |
高危 |
|
攻擊向量 |
網路 |
所需許可權 |
無 |
|
利用難度 |
低 |
使用者互動 |
無 |
|
PoC/EXP |
未知 |
在野利用 |
未知 |
QNAP Systems, Inc.(威聯通科技)主要生產用於檔案共享、虛擬化、儲存管理和監控應用的網路附加儲存(NAS)設備。
2024年1月9日,啟明星辰VSRC監測到某些QNAP作業系統中修復了一個原型汙染漏洞(CVE-2023-39296),其CVSSv3評分為7.5。該漏洞影響了QTS 和 QuTS Hero,可能導致遠端威脅者使用類型不兼容的屬性覆蓋現有屬性,從而可能導致系統崩潰。
此外,QTS 和QuTS Hero中還修復了一個OS命令注入漏洞(CVE-2023-39294,中危),經過身份驗證的管理員使用者可利用該漏洞遠端執行命令。
二、影響範圍
QTS 5.1.x QTS 5.1.3.2578 build 20231110
QuTS hero h5.1.x QuTS hero h5.1.3.2578 build 20231110
三、安全措施
3.1升級版本
目前這些漏洞已經修復,受影響使用者可升級到以下版本:
QTS 5.1.x >= QTS 5.1.3.2578 build 20231110
QuTS hero h5.1.x >= QuTS hero h5.1.3.2578 build 20231110
下載連結:
https://www.qnap.com/en/download
注:更新QTS 或QuTS hero步驟如下:
1.以管理員身份登入 QTS 或 QuTS hero;
2.轉到【控制面板】>【系統】>【韌體更新】;
3.在【實時更新】下,單擊【檢查更新】;
系統下載並安裝最新的可用更新。
3.2臨時措施
暫無。
3.3通用建議
定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。
加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網路安全性能。
加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。
啟用強密碼策略並設置為定期修改。
3.4參考連結
https://www.qnap.com/en/security-advisory/qsa-23-64
https://www.qnap.com/en/security-advisory/qsa-23-54