2026年4月30日,安全社区公开了ASUSTOR NAS设备操作系统ADM的一个高危远程代码执行漏洞CVE-2026-6644的技术细节和PoC利用代码。该漏洞CVSS 4.0评分高达9.4(Critical),位于ADM的PPTP VPN客户端组件中,允许已认证的管理员用户对底层操作系统执行任意命令,最终获取设备root权限。由于PoC已公开,暴露在互联网上的ASUSTOR NAS设备面临极高的在野利用风险。
漏洞技术原理解析
CVE-2026-6644的本质是一个OS命令注入漏洞(CWE-78),存在于ADM的PPTP VPN客户端功能模块中。该模块在处理用户输入的VPN配置参数时,未对特殊字符进行充分的过滤和转义,导致攻击者可以在输入中注入任意系统命令。攻击流程如下:
- 攻击者首先需要获得ADM系统的管理员权限(可通过弱口令、钓鱼或其他漏洞实现);
- 登录后,在PPTP VPN客户端配置界面提交特制的恶意参数;
- 恶意参数中的系统命令通过shell注入被执行,攻击者从而突破web环境的沙箱限制;
- 最终以root权限在底层操作系统上执行任意代码,完全控制NAS设备。
受影响版本范围
根据NVD官方记录,以下ADM版本受影响:
| ADM系列 | 受影响版本范围 | 修复版本 |
|---|---|---|
| ADM 4.x | 4.1.0 至 4.3.3.RR42(不含) | 升级至 4.3.3.RR42 或更高 |
| ADM 5.x | 5.0.0 至 5.1.2.REO1(不含) | 升级至 5.1.2.REO1 或更高 |
为什么这个漏洞特别危险?
NAS设备在企业环境和家庭网络中扮演着重要的数据存储角色,往往存储着大量敏感数据。一旦被攻破,攻击者可以:
- 窃取所有存储数据:包括企业文档、财务数据、个人隐私等;
- 部署勒索软件:对NAS上的文件进行加密,索要赎金;
- 作为跳板横向移动:利用NAS在内网中的信任关系,攻击其他内网设备;
- 植入持久化后门:即使管理员升级了固件,某些后门可能依然存活。
修复建议与临时缓解措施
针对此漏洞,ASUSTOR已发布修复版本。我们建议所有ASUSTOR NAS用户立即采取以下措施:
- 立即升级ADM固件:登录ADM管理界面,进入"设置"→"固件更新",检查并安装最新版本;
- 禁止NAS直接暴露在互联网上:如果必须从外网访问,请通过VPN接入,不要将NAS管理端口直接开放到公网;
- 修改默认管理员密码:使用强密码,并定期更换;
- 启用自动更新:在ADM设置中开启自动检查更新,确保第一时间获取安全补丁;
- 监控异常日志:检查系统日志中是否有异常登录记录或命令执行痕迹。
企业IT管理视角的思考
从我们为众多企业客户提供IT外包服务的经验来看,NAS设备的安全往往被低估。很多企业的NAS设备购买后只做了基础配置,之后便长期无人维护,固件版本停留在出厂状态,埋下了严重的安全隐患。我们建议企业将NAS设备纳入统一的IT资产安全管理体系,定期检查和更新固件版本,确保存储基础设施的安全性。
如果您对NAS设备的安全配置有疑问,或需要专业的IT安全评估服务,欢迎通过我们的网站留言板联系,我们将竭诚为您提供技术支持。