导读 总部位于台湾的QNAP Systems已修复了一个远程代码执行(RCE)漏洞,该漏洞困扰了其许多网络附加存储(NAS)设备使用的应用程序。根据该公司发
总部位于台湾的QNAP Systems已修复了一个远程代码执行(RCE)漏洞,该漏洞困扰了其许多网络附加存储(NAS)设备使用的应用程序。根据该公司发布的公告,它已在Surveillance Station应用程序中修复了基于堆栈的缓冲区溢出漏洞。
威联通(QNAP)要求NAS设备的用户尽快将Surveillance Station更新到最新版本时说:“利用此漏洞,攻击者可以执行任意代码。”
Surveillance Station是QNAP的网络监视视频管理系统(VMS),使用户能够管理和监视多个IP摄像机。
据报道,利用RCE漏洞还可以使作案者颠覆在受感染的NAS设备上运行的任何安全软件或反恶意软件扫描程序。
除了严重的RCE漏洞,据报道,QNAP还修补了一个中等严重程度的跨站点脚本(XSS)漏洞,该漏洞困扰了其另一个广泛使用的应用程序。
据QNAP称,Photo Station应用程序中的XSS漏洞被利用后,该漏洞用于将映像上传和查看到NAS设备上,从而使远程攻击者可以注入恶意代码。
威联通(QNAP)已发布Surveillance Station和Photo Station应用程序的更新,以修复各自的漏洞。
NAS设备通常是威胁参与者的目标,因为它们通常是敏感文档和文件的宝库。QNAP一直处于针对其设备的若干恶意活动的接收端,最近警告用户有关Dovecat加密采矿恶意软件,该恶意软件专门寻找具有弱密码的Internet公开QNAP设备,以将其用于挖掘加密货币。