近日,QNAP发布了多项安全公告,其中一项解决了一个严重的安全问题,允许在易受攻击的QVR系统上远程执行任意命令,该公司的视频监控解决方案托管在NAS上设备。QVRIP视频监控系统支持多通道、跨平台视频解码,专为监控家庭和办公环境而设计。该漏洞被跟踪为CVE-2022-27588,严重性评分为9.8。它影响早于5.1.6build20220401的QVR版本。根据QNAP发布的公告,该漏洞影响运行QVR的QNAPVS系列NVR。如果被利用,此漏洞可能允许远程攻击者运行任意命令。这种类型的安全漏洞允许攻击者在目标上执行命令以更改设置、访问敏感信息或控制设备。它甚至可以用作进入目标网络的垫脚石。正如我们过去所见,QNAP系统中的关键漏洞在漏洞公开后几乎立即在网络攻击中被利用。目前,BleepingComputer表示已联系QNAP索取CVE-2022-27588是否被积极利用的信息,并将根据公司的回应及时做出报告。除了QVR中的关键问题外,QNAP还解决了其他产品中的八个漏洞,严重程度从中到高。以下是修复的完整列表:CVE-2022-27588:QNAPQVR中的严重问题RCECVE-2021-38693:thttpd中的中等严重性路径遍历漏洞,影响QTS、QuTShero和QuTScloud。CVE-2021-44055:中等严重性缺陷,允许远程访问某些VideoStation版本中的数据。CVE-2021-44056:中等严重性缺陷,允许远程访问某些VideoStation版本中的数据。CVE-2021-44057:运行PhotoStation的QNAPNAS中的高危漏洞。CVE-2021-44051:一个高危命令注入漏洞,允许在QTS、QuTShero和QuTScloud中执行任意远程命令。CVE-2021-44052:一个高危链接解析漏洞,可能允许在QTS、QuTShero和QuTScloud中进行恶意文件操作。CVE-2021-44053:一个高危跨站点脚本(XSS)漏洞,允许在QTS、QuTShero和QuTScloud中远程注入代码。CVE-2021-44054:一个高危开放重定向漏洞,允许用户被重定向到QTS、QuTShero和QuTScloud中带有恶意软件的页面。目前,QNAP尚未提供缓解指南,因此建议您将软件更新至最新可用版本。参考来源:https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-qvr-remote-command-execution-vulnerability/
