情資內容

概述: 行政院技術服務中心於5月22日發布QNAP NAS設備使用之Photo Station應用程式，存在任意檔案讀取與程式碼注入等安全漏洞(CVE-2019-7192、CVE-2019-7193、CVE-2019-7194及CVE-2019-7195)，遠端攻擊者可對目標設備發送特製請求，利用此漏洞進而執行任意程式碼[1]。媒體iThome報導，據研究人員分析，當時全球可能有超過31萬臺QNAP NAS曝險，於2019年6月在資安廠商通報後，QNAP已經在2019年12月將4項漏洞全數修補[2]。 NVD公告漏洞編號[3]: CVE-2019-7192 Base Score: 9.8 CRITICAL CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVE-2019-7193 Base Score: 9.8 CRITICAL CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVE-2019-7194 Base Score: 9.8 CRITICAL CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVE-2019-7195 Base Score: 9.8 CRITICAL CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H github漏洞利用說明[4]: 目前已有研究人員發布漏洞驗證工具於github。 影響平台: 啟用Photo Station應用程式之QNAP設備皆受此漏洞影響。 因應對策or建議措施: 目前QNAP官方已針對此漏洞釋出更新程式[5]，請評估後於官方網站下載更新至以下版本： QTS： QTS 4.4.1：build 20190918(含)以後版本 QTS 4.3.6：build 20190919(含)以後版本 Photo Station： QTS 4.4.1：Photo Station 6.0.3(含)以後版本 QTS 4.3.4 ~ QTS 4.4.0：Photo Station 5.7.10(含)以後版本 QTS 4.3.0 ~ QTS 4.3.3：Photo Station 5.4.9(含)以後版本 QTS 4.2.6：Photo Station 5.2.11(含)以後版本 參考連結： 1.行政院技術服務中心公告 https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1124 2.iThome報導 https://www.ithome.com.tw/news/137748 3. NVD公告 https://nvd.nist.gov/vuln/detail/CVE-2019-7192 https://nvd.nist.gov/vuln/detail/CVE-2019-7193 https://nvd.nist.gov/vuln/detail/CVE-2019-7194 https://nvd.nist.gov/vuln/detail/CVE-2019-7195 4.github漏洞驗證 https://github.com/cycraft-corp/cve-2019-7192-check 5.QNAP 官方公告 https://www.qnap.com/zh-tw/security-advisory/nas-201911-25 建議措施： 參考資料： 影響平台：