开源组件 Netatalk 存在多个严重漏洞,Synology 多款产品受影响
编译:代码卫士
Synology 公司提醒客户称某些NAS 设备易受多个严重的 Netatalk 漏洞影响。
Synology 公司表示,“这些漏洞可使远程攻击者获取敏感信息并可能通过 Synology DiskStation Manager (DSM) 和 Synology Router Manager (SRM) 的可疑版本获取敏感信息并执行任意代码。”
Netatalk 是一款开源的AFP实现,可使运行 *NIX/*BSD 的系统作为 macOS 客户端的 AppleShare 文件服务器 (AFP) (即访问存储在 Synology NAS 设备上的文件)。
Netatalk 开发团队在3月22日发布的版本 3.1.1 中解决了这些安全漏洞,距离在 Pwn2Own 2021 黑客大赛上首次披露和利用过去了三个月的时间。
NCC Group 公司的 EDG 团队利用该缺陷(CVE-2022-23121,CVSS评分9.8)在无需认证的情况下在Pwn2Own 大赛期间在运行 My Cloud OS 的西部电子 PR4100 NAS 设备上实现了远程代码执行。
Synology 公司还在安全警报中重点强调了三个漏洞(CVE-2022-23125、CVE-2022-23122和CVE-2022-0194),它们的评分也非常高。这些漏洞还可导致未认证攻击者在未修复设备上远程执行任意代码。
尽管Netatalk 开发团队已在本月发布安全补丁解决这些缺陷,但 Synology 表示某些受影响产品的发布仍然在“进行过程中”。
尽管Synology 公司并未提供安全更新的预计发布日期,但去年该厂商表示一般而言会在发布安全公告后的90天内向受影响软件发布补丁。该公司还表示,这些 Netatalk 漏洞已在运行 DiskStation Manager (DSM) 7.1 或后续版本中修复。
本周早些时候,台湾NAS设备厂商 QNAP 督促客户暂时禁用NAS的AFP文件服务协议,等待修复多个严重的 Netatalk 缺陷。
QNAP 表示这些Netatalk 漏洞影响多个 OTS 和 QuTS hero 操作系统版本和 QuTScloud(云优化NAS 操作系统)。QNAP 也为受影响的一个OS版本推出补丁,目前修复方案已适用于运行 QTS 4.5.4.2012 build 20220419 及后续版本。
QNAP 公司表示,“QNAP全面调查了该案例。我们将为所有受影响QNAP 操作系统版本发布安全更新,并尽快提供更多信息。我们建议用户开展检查,补丁发布后尽快予以应用。”
开源组件存在高危漏洞,可导致在谷歌 VirusTotal 执行RCE
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
开源组件 Ehcache中被曝严重漏洞,影响多款Jira产品
HIBP 网站的Pwned Passwords组件代码开源,且直接收录 FBI 提供的数据
https://www.bleepingcomputer.com/news/security/synology-warns-of-critical-netatalk-bugs-in-multiple-products/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。