QNAP NAS设备安全漏洞分析与防护指南

QNAP NAS设备安全漏洞分析与防护指南 漏洞概述 2020年5月披露的QNAP NAS设备安全漏洞涉及QNAP Photo Station应用程序中的三个高危漏洞(CVE-2019–7192、CVE-2019–7194、CVE-2019–7195)和QTS操作系统中的一个漏洞(CVE-2019–7193)，所有漏洞CVSS评分均为9.8(高危)。 受影响范围 约80%的QNAP NAS系统(约45万台)受到影响 所有安装了Photo Station应用程序的QNAP NAS设备 运行多个版本QTS和Photo Station的系统 漏洞详情 CVE-2019–7192 类型 : 未授权文件读取漏洞 影响 : 攻击者无需认证即可读取服务器上的文件 利用方式 : 读取含有登录令牌的文件，获取appuser身份认证凭证 风险 : 可访问只有root用户可读取的加密密码文件 CVE-2019–7194 类型 : PHP代码注入漏洞 影响 : 允许攻击者将任意PHP代码注入到session中 前提 : 需要先利用CVE-2019–7192获取认证凭证 CVE-2019–7195 类型 : 未授权session写入漏洞 影响 : 允许攻击者在未经认证的情况下将session内容写入服务器 利用方式 : 结合前两个漏洞生成webshell CVE-2019–7193 类型 : QTS操作系统漏洞 详情 : 研究人员未公开具体细节，认为前三个漏洞已足够完成攻击 攻击链分析 初始访问 : 利用CVE-2019–7192读取服务器文件，获取登录令牌 权限提升 : 使用获取的令牌认证为appuser 代码注入 : 利用CVE-2019–7194将恶意PHP代码注入session 持久化 : 利用CVE-2019–7195将修改后的session写入web目录生成webshell 完全控制 : 由于web服务器以root权限运行，攻击者获得系统完全控制权 漏洞危害 远程代码执行(RCE)以root权限 系统完全沦陷 敏感数据泄露(包括加密密码) 可作为内网攻击跳板 修复方案 QNAP已于2019年11月发布补丁，建议采取以下措施： 立即更新 : 升级到最新版QTS操作系统 升级Photo Station到最新版本 临时缓解措施 (如果无法立即更新): 禁用Photo Station应用程序 将NAS设备从互联网断开 限制外部访问NAS的端口 长期防护措施 : 启用QNAP的自动更新功能 定期检查并应用安全补丁 实施网络访问控制，限制对管理界面的访问 启用双因素认证 检测方法 检查系统日志中是否有可疑的文件读取行为 监控Photo Station目录下是否有异常PHP文件 检查是否有异常的appuser会话活动 使用漏洞扫描工具检测系统是否存在这些漏洞 受影响版本 具体受影响版本未在报告中详细列出，但所有在2019年11月前发布的QTS和Photo Station版本都可能受影响。建议所有用户都假设自己系统可能受影响并采取相应措施。 总结 这三个漏洞的组合利用可导致QNAP NAS设备完全沦陷，由于Photo Station的普及率高达80%，影响范围广泛。所有QNAP NAS用户应立即检查系统状态并应用安全更新，以避免成为攻击目标。