严重的PHP漏洞使QNAP NAS设备受到远程攻击

台湾网络连接存储（NAS）设备制造商QNAP周三表示，正在修复一个三年前的关键PHP漏洞，该漏洞可能被滥用以实现远程代码执行。

“据报道，有一个漏洞会影响7.1.33以下的7.1.x版本、7.2.24以下的7.2.x版本和7.3.11以下的7.3.x版本以及不正确的nginx配置，”硬件供应商在一份咨询中表示。“如果受到攻击，该漏洞允许攻击者获得远程代码执行。”

该漏洞被追踪为CVE-2019-11043，在CVSS漏洞评分系统中，其严重程度为9.8分（共10分）。也就是说，Nginx和php-fpm需要在使用以下QNAP操作系统版本的设备中运行-

•  
• QTS 4.5。x及更高版本
• QuTS hero h5.0。x及更高版本
• QuTS hero h4.5。x及更高版本
• QuTScloud c5.0。x及更高版本

该公司表示：“由于QTS、QuTS hero或QuTScloud在默认情况下没有安装nginx，QNAP NAS在默认状态下不受此漏洞的影响”，并补充说，它已经缓解了操作系统版本QTS 5.0.1.2034 build 20220515和QuTS hero h5.0.0.2069 build 20220614中的问题。

该警报发布一周前，QNAP透露，它正在“彻底调查”针对QNAP NAS设备的又一波死锁勒索软件攻击，这些设备运行的是过时版本的QTS 4。x。

除了敦促客户升级到最新版本的QTS或QuTS hero操作系统外，它还建议这些设备不要暴露在互联网上。

“如果您的NAS已经被破坏，请截取赎金便笺的屏幕截图以保留比特币地址，然后升级到最新固件版本，内置的恶意软件清除程序应用程序将自动隔离劫持登录页面的赎金便笺，”它说。