QNAP Systems 发布了针对两个关键命令注入漏洞的安全公告，这些漏洞影响 QTS 操作系统的多个版本及其网络附加存储 (NAS) 设备上的应用程序。

第一个漏洞的编号为 CVE-2023-23368 ，严重程度为 9.8（满分 10）。这是一个命令注入漏洞，远程攻击者可利用该漏洞通过网络执行命令。

受安全问题影响的QTS版本为QTS 5.0.x和4.5.x、QuTS Hero h5.0.x和h4.5.x以及QuTScloud c5.0.1。

以下版本中提供了修复：

• QTS 5.0.1.2376 内部版本 20230421 及更高版本
• QTS 4.5.4.2374 内部版本 20230416 及更高版本
• QuTS Hero h5.0.1.2376 内部版本 20230421 及更高版本
• QuTS Hero h4.5.4.2374 内部版本 20230417 及更高版本
• QuTScloud c5.0.1.2374 及更高版本

第二个漏洞被识别为CVE-2023-23369  ，严重程度较低，为 9.0，也可以被远程攻击者利用，达到与前一个漏洞相同的效果。

受影响的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3 和 4.2.x、多媒体控制台 2.1.x 和 1.4.x，以及媒体流加载项 500.1.x 和 500.0.x。

修复程序可用于：

• QTS 5.1.0.2399 内部版本 20230515 及更高版本
• QTS 4.3.6.2441 内部版本 20230621 及更高版本
• QTS 4.3.4.2451 内部版本 20230621 及更高版本
• QTS 4.3.3.2420 内部版本 20230621 及更高版本
• QTS 4.2.6 内部版本 20230621 及更高版本
• 多媒体控制台 2.1.2 (2023/05/04) 及更高版本
• 多媒体控制台 1.4.8 (2023/05/05) 及更高版本
• 媒体流附加组件 500.1.1.2 (2023/06/12) 及更高版本
• 媒体流附加组件 500.0.0.11 (2023/06/16) 及更高版本

要更新 QTS、QuTS Hero 或 QuTScloud，管理员可以登录并导航至控制面板 > 系统 > 固件更新，然后单击实时更新下的“检查更新”以下载并安装最新版本。还可以从 QNAP 网站手动下载更新。

可以通过在应用程序中心查找安装并单击“更新”按钮（仅在存在更新版本时可用）来更新多媒体控制台。更新媒体流插件的过程类似，用户也可以通过搜索应用中心找到该插件。

由于 NAS 设备通常用于存储数据，因此命令执行缺陷可能会产生严重影响，因为网络犯罪分子经常寻找新目标来窃取和/或加密敏感数据。然后，攻击者可以向受害者索要赎金，以免泄露数据或解密数据。

QNAP 设备过去曾成为大规模勒索软件攻击的目标。一年前，Deadbolt 勒索软件团伙利用零日漏洞 对公共互联网上暴露的 NAS 设备进行加密。