資料來源:台灣電腦網路危機處理暨協調中心

https://www.twcert.org.tw/tw/cp-104-6072-bac2d-1.html

Apache HTTP 伺服器漏洞揭露,QNAP 要求 NAS 用戶採取行動,避免可能衝擊

Apache HTTP 伺服器漏洞揭露,QNAP 要求 NAS 用戶採取行動,避免可能衝擊 TWCERT/CC


由於 QNAP NAS 採用 Apache HTTP Server,QNAP 日前發表資安通報,要求該品牌 NAS 產品用戶,立即針對一組嚴重 Apache HTTP 伺服器揭露的漏洞採取行動,檢查設定值,以避免駭侵者利用該批漏洞發動攻擊。

台灣專業網路儲存設備廠 QNAP(威聯通),日前發表資安通報,要求該品牌網路儲存裝置(Network Attached Storage, NAS)產品用戶,立即針對一組嚴重 Apache HTTP 伺服器漏洞採取行動,檢查裝置內的相關設定值,以避免駭侵者利用該批漏洞發動攻擊。

通報指出,如果用戶保持原出廠設定值,QNAP NAS 並不受弱點影響。有兩個嚴重漏洞 CVE-2022-22721 與 CVE-2022-23943,存於 Apache HTTP server 2.4.52 與先前版本內;據 NVD 資安專家分析指出,駭侵者可以利用這兩個漏洞,以相當簡單的方式發動攻擊,且用戶難以查覺。

QNAP 指出,CVE-2022-22721 影響的是 32 位元的 QNAP NAS 裝置,而 CVE-2022-23943 則影響在其 Apache HTTP server 中啟用 mod_sed 的用戶。

這兩個漏洞的 CVSS 危險程度評分為 9.8 分(滿分為 10 分),危險程度評級為「嚴重」(critical)等級;且目前 QNAP 尚未推出正式的修補更新;不過在資安通報中,QNAP 提供了暫時解決方案。該通報建議用戶進行下列操作:

  • 將 LimitXMLReuerstBody 參數保持預設值「1M」,以對應 CVE-2022-22721 漏洞;
  • 停用 mod_sed 功能,以對應 CVE-2022-23943 漏洞。

QNAP 表示,在出廠設定中,mod_sed 原本就是關閉狀態;如果用戶無法確認是否維持在預設值,應立即檢視 Apache 設定,有必要時應關閉 mod_sed。

QNAP 也指出,目前正在調查這兩個漏洞造成的影響,並將儘快推出解決這兩個漏洞的韌體更新,請用戶密切注意,有更新應立即套用。