QNAP 軟件存在嚴重漏洞，影響近 30000 臺設備

Security Affairs 網站披露，NAS 廠商 QNAP（威聯通）在安全公告表示， QTS 5.0.1 和 QuTS hero h5.0.1 兩款軟件中存在嚴重漏洞 （追蹤為 CVE-2022-27596，CVSS v3 評分：9.8）。

據悉，即使遠程攻擊者沒有獲得用戶交互權限或易受攻擊設備上其它權限，也可以輕松利用 CVE-2022-27596 漏洞在受影響的 QNAP 設備上注入惡意代碼。

漏洞影響 QTS 5.0.1 和 QuTS hero h5.0.1 版本。

漏洞披露不久后，QNAP 就發布了 QTS 和 QuTS 固件安全更新。目前，以下操作系統版本已修復了 CVE-2022-27596 漏洞。

QTS 5.0.1.2234 build 20221201 及更高版本

QuTS hero h5.0.1.2248 build 20221215 及更高版本

網絡安全公司 Censys 對互聯網上暴露的 QNAP 設備進行了全面掃描，發現 30000 臺設備運行 QTS 5.0.1 和 QuTS hero h5.0.1易受攻擊的版本，可能會受到 CVE-2022-27596 漏洞的影響。

此外，Censys 對 67415 臺據稱運行基于 QNAP 系統的主機進行了檢查，但只從 30520 臺主機中獲得了版本號。在這 30520 臺具有版本的主機中，只有 557 臺更新了安全補丁，這意味著 29968 臺主機可能受到 CVE-2022-27596 漏洞的影響。值得一提的是，其中易感染的系統主要位于意大利（3200）、美國（3149）和臺灣（1942）。

易受攻擊的版本：

最后，Censys 強調一旦 CVE-2022-27596 漏洞被網絡犯罪分子發布并武器化，可能會給成千上萬的 QNAP 用戶帶來麻煩。因此強烈建議用戶立刻升級其 QNAP 設備，以免遭受網絡攻擊。