台湾公司 QNAP 本周已要求客户在其网络附加存储 (NAS) 设备上禁用 AFP 文件服务协议,直到它修复多个关键的 Netatalk 漏洞。
Netatalk 是 AFP(Apple Filing Protocol 的缩写)的开源实现,它使 *NIX/*BSD 系统能够充当 macOS 客户端的 AppleShare 文件服务器 (AFP)。
在 QNAP NAS 设备上,AFP 允许 macOS 系统访问 NAS 上的数据。根据 QNAP 的说法,它仍在使用,因为它“支持许多其他协议不支持的独特 macOS 属性”。
NCC Group 的 EDG 团队 成员利用其中一个安全漏洞(被跟踪为 CVE-2022-23121, 严重性评分为 9.8/10),在 Pwn2Own 2021 黑客竞赛期间在运行 My云操作系统固件。
QNAP 警告其客户的其他三个漏洞也获得了 9.8/10 的严重等级(即 CVE-2022-23125、 CVE-2022-23122、 CVE-2022-0194),所有这些漏洞还允许未经身份验证的攻击者执行任意代码远程无需在未修补的设备上进行身份验证。
3 月 22 日,Netatalk 开发团队发布了 3.1.13 版本 来修复这些安全漏洞,这是在 Pwn2Own 竞赛后报告漏洞三个月后。
QNAP 表示 Netatalk 漏洞(已在 QTS 4.5.4.2012 build 20220419 及更高版本中修复)影响以下操作系统版本:
QTS 5.0.x 及更高版本
QTS 4.5.4 及更高版本
QTS 4.3.6 及更高版本
QTS 4.3.4 及更高版本
QTS 4.3.3 及更高版本
QTS 4.2.6 及更高版本
QuTS hero h5.0.x 及更高版本
QuTS hero h4.5.4 及更高版本
QuTScloud c5.0.x
QNAP:在固件被修补之前禁用 AFP
“QNAP 正在彻底调查此案。我们将发布所有受影响的 QNAP 操作系统版本的安全更新,并尽快提供进一步的信息,”NAS 制造商表示。
“要缓解这些漏洞,请禁用 AFP。我们建议用户在安全更新可用时立即检查并安装。”
要在 QTS 或 QuTS hero NAS 设备上禁用 AFP,您必须进入控制面板 > 网络和文件服务 > Win/Mac/NFS/WebDAV > Apple 网络并选择禁用 AFP(Apple 归档协议)。
QNAP 还致力于解决 一个名为“Dirty Pipe”的 Linux 漏洞 ,该漏洞在攻击中被积极利用,该漏洞允许获得 root 权限和 可能导致拒绝服务 (DoS) 状态和远程崩溃的高严重性 OpenSSL 错误。
虽然运行 QuTScloud c5.0.x 的 NAS 设备的 Dirty Pipe 漏洞仍有待修复,但 QNAP 仅发布了针对其在一个月前警告客户的 OpenSSL DoS 漏洞的 QTS 安全更新。
一周前,客户还被告知要 缓解两个关键的 Apache HTTP Server 错误,这些错误 添加到运行 QTS、QuTS hero 和 QuTScloud 的设备需要解决的漏洞队列中。
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
