QNAP再被发现有RCE漏洞，厂商虽然早于2017年发布更新固件

继5月间被爆影响数十万台NAS的软件远程程序代码执行（RCE）漏洞后，本周又有研究人员发现，NAS厂商Qnap的设备固件也有RCE漏洞，而且可能已遭到不明人士刺探中。

漏洞是由奇虎360发现。它存在QNAP一只注销用的CGI程序authLogout.cgi。在用户注销时，它会根据cookie的字段名称选择相应的注销函数。其中QPS_SID、QMS_SID和QMMS_SID注销函数并未过滤特殊字符，即直接使用snprintf函数拼接curl指令字符串，并调用system函数执行该字符串，而引发指令注入。这允许未经验证的攻击者利用这只CGI程序，由远程执行任意程序代码。

受影响固件包括4.2.0到4.2.4。研究人员于5月通报QNAP后，Qnap产品安全事件应变小组也做出回复，他们表示，该漏洞在先前更新时已经修正，但在网络上仍有设备未修补，而我们查看该厂商的固件，也的确发现他们在2017年7月发行的4.3.3版已经修正了这个问题。

虽然网络上尚未见到针对该漏洞的概念验证攻击程序，但研究人员发现已经有不明人士悄悄由2个IP地址送出相同的程序代码，不过究竟是植入僵尸网络程序不得而知，并有人自其他IP进行渗透扫描。因此研究人员呼吁用户应尽快安装最新版本固件。

QNAP 5月间也被披露线上相册程序及CGI程序出现多项漏洞，可被串联起来远程执行程序代码。Bleeping Computer则报道，还有一只勒索软件eChoraix自2019年以来，即锁定Qnap NAS设备发动攻击。