最近公司上线一个小程序业务 准备发布nginx服务器到外网时 要先漏洞扫描,然后检测到了这个漏洞 CVE-2022-24990。
Terramaster TOS 命令注入漏洞(CVE-2022-24990)[原理扫描]
版本:Terramaster TOS 4.2.29
介绍:Terramaster TOS是中国铁威马(Terramaster)公司的一款基于Linux平台的,专用于erraMaster云存储NAS服务器的操作系统。 <br/>Terramaster TOS 4.2.29版本存在命令注入漏洞,该漏洞源于api.php脚本中的webNasIPS 组件中的输入验证不正确。未经身份验证的攻击者可以发送特殊数据利用该漏洞并在目标系统上执行任意命令。
给出的建议是: 去目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.terra-master.com/jp/tos/
但经本人查了很多资料 又去官网看了后 TOS其实是一种服务系统来的 。去他们官网下的更新包也没看到具体更新方法。而我们的centos 7服务器压根没用到这个服务。真的被这个漏洞折腾的够呛。 翻遍了服务器所有服务都没看到有跟Terramaster或者 TOS相关的。又是升级nginx服务啥的都不行 最后和同事找到了是一个静态网页搞得鬼。
解决方法:
最后是在nginx/html目录下找到了个index.html的一个静态网页 。界面如下
原目录下文件nginx/html/index.html 将index.html改名为index.html123 即改为非.html后缀就行。或者没用的话 可以删掉这个index.html文件也可以。后来漏扫就恢复正常了。
结论:结论该漏洞问题应该是误报导致的 ,所有服务中都没有用到Terramaster TOS 相关服务。漏扫应该是检测到index.html跟CVE-2022-24990漏洞特征库相似就报漏洞了。
有不懂的小伙伴可以评论区留言。
原文链接:https://blog.csdn.net/weixin_52998454/article/details/129754526?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522171828022116800188519981%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=171828022116800188519981&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-22-129754526-null-null.nonecase&utm_term=nas+%E9%93%81%E5%A8%81%E9%A9%AC