資料來源:台灣電腦網路危機處理暨協調中心
https://www.twcert.org.tw/tw/cp-104-6072-bac2d-1.html
Apache HTTP 伺服器漏洞揭露,QNAP 要求 NAS 用戶採取行動,避免可能衝擊
由於 QNAP NAS 採用 Apache HTTP Server,QNAP 日前發表資安通報,要求該品牌 NAS 產品用戶,立即針對一組嚴重 Apache HTTP 伺服器揭露的漏洞採取行動,檢查設定值,以避免駭侵者利用該批漏洞發動攻擊。
台灣專業網路儲存設備廠 QNAP(威聯通),日前發表資安通報,要求該品牌網路儲存裝置(Network Attached Storage, NAS)產品用戶,立即針對一組嚴重 Apache HTTP 伺服器漏洞採取行動,檢查裝置內的相關設定值,以避免駭侵者利用該批漏洞發動攻擊。
通報指出,如果用戶保持原出廠設定值,QNAP NAS 並不受弱點影響。有兩個嚴重漏洞 CVE-2022-22721 與 CVE-2022-23943,存於 Apache HTTP server 2.4.52 與先前版本內;據 NVD 資安專家分析指出,駭侵者可以利用這兩個漏洞,以相當簡單的方式發動攻擊,且用戶難以查覺。
QNAP 指出,CVE-2022-22721 影響的是 32 位元的 QNAP NAS 裝置,而 CVE-2022-23943 則影響在其 Apache HTTP server 中啟用 mod_sed 的用戶。
這兩個漏洞的 CVSS 危險程度評分為 9.8 分(滿分為 10 分),危險程度評級為「嚴重」(critical)等級;且目前 QNAP 尚未推出正式的修補更新;不過在資安通報中,QNAP 提供了暫時解決方案。該通報建議用戶進行下列操作:
- 將 LimitXMLReuerstBody 參數保持預設值「1M」,以對應 CVE-2022-22721 漏洞;
- 停用 mod_sed 功能,以對應 CVE-2022-23943 漏洞。
QNAP 表示,在出廠設定中,mod_sed 原本就是關閉狀態;如果用戶無法確認是否維持在預設值,應立即檢視 Apache 設定,有必要時應關閉 mod_sed。
QNAP 也指出,目前正在調查這兩個漏洞造成的影響,並將儘快推出解決這兩個漏洞的韌體更新,請用戶密切注意,有更新應立即套用。
相關連結