close

奇安信CERT

致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。



安全通告


近日,奇安信CERT監測到Netatalk遠程命令執行漏洞(CVE-2022-23121)細節及部分PoC公開。未經身份驗證的遠程攻擊者可利用此漏洞在受影響的Netatalk服務上以root權限執行任意命令。目前,奇安信CERT已復現此漏洞,同時鑑於已有細節及部分PoC公開,攻擊者可通過已有信息開發出利用代碼,漏洞現實威脅上升,建議客戶儘快做好自查,及時更新至最新版本。
漏洞名稱
Netatalk 遠程命令執行漏洞
公開時間
2022-03-25
更新時間
2022-05-12
CVE編號
CVE-2022-23121
其他編號
QVD-2022-1674
威脅類型

命令執行

技術類型
越界讀取及寫入
廠商
開源組件項目
產品
Netatalk
風險等級
奇安信CERT風險評級
風險等級
高危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態
在野利用狀態
技術細節狀態
已公開(部分)
未知
未知
已公開

漏洞描述

由於在解析AppleDouble條目時parse_entries函數缺乏正確的異常處理造成未經身份驗證的遠程攻擊者可利用此漏洞在受影響的Netatalk服務上以root權限執行任意命令。

影響版本

Netatalk < 3.1.13

不受影響版本

Netatalk >= 3.1.13

其他受影響組件

l 影響Synology DiskStation Manager (DSM) 和 Synology Router Manager (SRM),詳情請參照:

https://www.synology.com/en-global/security/advisory/Synology_SA_22_06

l 影響QNAP操作系統,詳情請參照:

https://www.qnap.com.cn/en/security-advisory/qsa-22-12

奇安信CERT已成功復現Netatalk 遠程命令執行漏洞,復現截圖如下:


風險等級

奇安信 CERT風險評級為:高危

風險等級:藍色(一般事件)


威脅評估

漏洞名稱
Netatalk 遠程命令執行漏洞
CVE編號
CVE-2022-23121
其他編號
QVD-2022-1674
CVSS 3.1評級
高危
CVSS 3.1分數
9.8
CVSS向量
訪問途徑(AV)
攻擊複雜度(AC)
網絡
所需權限(PR)
用戶交互(UI)
不需要
不需要
影響範圍(S)
機密性影響(C)
不變
完整性影響(I)
可用性影響(A)
危害描述

由於在解析AppleDouble條目時parse_entries函數缺乏正確的異常處理造成未經身份驗證的遠程攻擊者可利用此漏洞在受影響的Netatalk服務上以root權限執行任意命令。



處置建議

目前,官方已發布可更新版本,用戶可升級Netatalk至3.1.13:

https://netatalk.sourceforge.io/3.1/ReleaseNotes3.1.13.html


產品解決方案

奇安信開源衛士已支持

奇安信開源衛士20220512. 1066版本已支持對Netatalk 遠程代碼執行漏洞 (CVE-2022-23121)的檢測。

奇安信天眼檢測方案

奇安信天眼新一代安全感知系統已經能夠有效檢測針對該漏洞的攻擊,請將規則版本升級到3.0.0512.13338或以上版本。規則ID及規則名稱:0x5e67,Netatalk 遠程代碼執行漏洞 (CVE-2022-23121)。奇安信天眼流量探針規則升級方法:系統配置->設備升級->規則升級,選擇「網絡升級」或「本地升級」。


參考資料

[1]https://research.nccgroup.com/2022/03/24/remote-code-execution-on-western-digital-pr4100-nas-cve-2022-23121/

[2]https://www.synology.com/en-global/security/advisory/Synology_SA_22_06

[3]https://www.qnap.com.cn/en/security-advisory/qsa-22-12


時間線

2022年5月12日,奇安信CERT發布安全風險通告

點擊閱讀原文

到奇安信NOX-安全監測平台查詢更多漏洞詳情

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()