2022-04-28
QNAP NAS 存在 2 個 9.8 分嚴重漏洞
極危險 !! 官方未有修補更新 請檢查設定
文: KK Wong / 新聞中心

台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 27 日發出警告,指出 QNAP NAS 存在一組嚴重 Apache HTTP 伺服器漏洞,要求 QNAP NAS 用家立即針對一組嚴重 Apache HTTP 伺服器漏洞採取行動,檢查裝置內的相關設定值,以避免黑客利用該批漏洞發動攻擊。

 

據 TWCERT/CC 指出,有兩個嚴重漏洞 CVE-2022-22721 與 CVE-2022-23943,存於 Apache HTTP server 2.4.52 與先前版本內,黑客可以利用這兩個漏洞,以相當簡單的方式發動攻擊,且用戶難以查覺。

 

這兩個漏洞的 CVSS 危險程度評分為 9.8 分(滿分為 10 分),危險程度評級為「嚴重」(critical)等級;且目前 QNAP 尚未推出正式的修補更新;不過 QNAP 提供了暫時解決方案。建議 QNAP NAS 用戶進行下列操作:

 

▪️ 將 LimitXMLReuerstBody 參數保持預設值「1M」,以對應 CVE-2022-22721 漏洞。

 

▪️ 停用 mod_sed 功能,以對應 CVE-2022-23943 漏洞。

 

QNAP 指出,NAS 用戶保持原出廠設定值,並不受弱點影響,如果用戶無法確認是否維持在預設值,應立即檢視 Apache 設定,目前正在調查這兩個漏洞造成的影響,並將儘快推出解決這兩個漏洞的韌體更新,請用戶密切注意,有更新應立即套用。

 

 

分享到:
發表評論