QNAP正在紧急修复两个0day，影响全球超8万设备

这些操作系统漏洞由 Sternum 公司的研究员发现，属于内存访问不当漏洞，可导致代码不稳定并导致认证的犯罪分子执行任意代码。CVE-2022-27597和CVE-2022-27598 影响 QTS、QuTS hero、QuTScloud 和 QVP OS，且已在 QTS 版本5.0.1.2346 build 20230322及后续版本以及 QuTS hero 版本 h5.0.1.2348 build 20230324 及后续版本中修复。QuTScloud 和 QVP OS 仍未修复，不过QNAP 公司表示正在“紧急修复”这些漏洞。

研究人员解释称，该内存访问不当漏洞影响 QNAP 设备的性能以及安全性。Sternum 公司的研究安全总监 Amit Serper 指出，“从性能角度来看，它们可导致稳定性问题和不可预测的代码行为。从安全角度来看，恶意人员可执行任意代码。”

QNAP 公司在安全公告中指出，“如遭利用，该漏洞可导致远程认证用户获得机密值。”

虽然这些漏洞被评级为“低危”级别，且目前研究人员未发现遭在野利用的迹象，但快速打补丁很重要，因为 QNAP 用户仍然是网络犯罪分子眼中的香饽饽。

QNAP 为何是攻击者的宠儿？

DeadBolt 勒索团伙单在2022年五月、六月和九月就利用大量0day 攻击 QNAP 用户。Vulcan Cyber 公司的高级技术工程师 Mark Parkin表示，该勒索团伙显然在不断寻找并利用 QNAP 0day，尤其是严重的0day。

Parkin 解释称，“据称，有时在某个目标中发现一个漏洞就会引出更多漏洞。问题就是他们寻找的次数越多，找到的漏洞就越多。这几乎会让你思考攻击者是不是拥有对源代码的访问权限或者能够通过其它方式获得内部跟踪权限。”

组织机构需要确保这些被高度针对的 QNAP 系统更新至最新状态，尤其是在新漏洞频繁出现的情况下更应如此。除了 Sternum 公司的最新研究成果外，QNAP QTS OS 用户还收到告警成，注意一个 CVSS 评分为9.8的严重的SQL注入漏洞，这一消息进一步加剧了攻击面。

对于新近出现的漏洞而言，系统无补丁的用户应当应用强大的端点检测和响应解决方案并查找妥协指标。由于网络攻击者需要进行验证，因此审计能够访问受影响系统的人员并提供额外的验证防护措施也有助于缓解攻击。

一名研究人员告警称，即使补丁已提供，但想要真正锁定设备，一些公司可能需要转变思维方式。Viakoo 公司的首席执行官 Bud Broomhead 指出，“QNAP 设备之所以非常受网络犯罪分子欢迎，是因为后者的策略是花小钱获得大量受害者。由于 QNAP 和很多其它物联网设备基本不在 IT 范围内管理，因此通常会被配置不当、不受防火墙保护以及不被修复。”

他还提到，“这些设备通常对于企业IT和安全部门是不可见的，当它们不合规（如过期和不安全的固件）时不会得到审计或被察觉。”