聚焦源代码安全,网罗国内外最新资讯!
该漏洞位于设备的 web 管理接口中。
合勤科技证实称,“具有管理员权限的认证攻击者可利用该漏洞,远程在受影响设备上执行某些操作系统命令。”如下设备受影响:
NAS326 版本5.2.1 (AAZF.12) C0及以下版本
NAS540版本5.21 (AAZF.9) C0及以下版本
NAS542版本5.21 (AAZF.9) C0及以下版本
该漏洞由 Sternum 公司的研究员报告,研究员发布了关于该漏洞的根因分析并说明了如何使目标设备做出非预期内行为。
研究人员解释称,“这些测试已经证实,认证攻击者可通过设备上的根权限执行任意系统命令。最终,这些漏洞可用于执行更加恶意的操作如远程恶意软件注入。”
合勤科技在本周二发布固件更新,用户应尽快执行这些更新。该公司并未提到可能的应变措施。虽然目前并不存在漏洞遭利用的证据,但 NAS 设备一般是受网络犯罪分子喜欢的目标,之前 QNAP NAS 设备多次遭勒索攻击。
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~