https://www.informationsecurity.com.tw/Seminar/2024_PaloAlto/
https://www.informationsecurity.com.tw/Seminar/2024_PaloAlto/

新聞

快更新!威聯通多款NAS作業系統曝嚴重漏洞 遠端無需驗證也能攻擊

2024 / 03 / 11
編輯部
快更新!威聯通多款NAS作業系統曝嚴重漏洞  遠端無需驗證也能攻擊
Qnap(威聯通)警告旗下NAS產品相關軟體存在漏洞,包括QTS、QuTS hero、QuTScloud和myQNAPcloud,這些漏洞可能允許攻擊者存取裝置。
 
Qnap近日披露了三個漏洞,可能導致安全認證繞過、命令注入和SQL注入。雖然後兩者需要攻擊者在目標系統上被認證,這大大降低了風險,但第一個漏洞(CVE-2024-21899)可以遠端執行而無需認證,並被標記為「低複雜度」。
 
以下是已修復的三個漏洞:
  • CVE-2024-21899: 不當的認證機制允許未經授權的使用者透過網路(遠端)破壞系統安全。 
  • CVE-2024-21900:此漏洞可能允許經過身份驗證的使用者透過網路在系統上執行任意命令,可能導致未經授權的系統存取或控制。 
  • CVE-2024-21901:此漏洞可能允許經驗證的管理員透過網路注入惡意SQL代碼,可能危及資料庫完整性並操縱其內容。 
這些漏洞影響Qnap Nas作業系統的各種版本,包括QTS 5.1.x、QTS 4.5.x、QuTS hero h5.1.x、QuTS hero h4.5.x、QuTScloud c5.x和myQNAPcloud 1.0.x服務。
 
建議使用者盡快升級至最新版本,以解決這三個漏洞。
 
NAS裝置通常儲存企業和個人大量有價值的資料,包括敏感的個人資訊、智慧財產權和關鍵業務資料。與此同時,這些裝置通常缺乏密切監控、保持永久連線暴露在網際網路上,並可能使用過時的作業系統及韌體。
 
出於這些原因,NAS裝置常常成為資料盜竊和勒索的目標。
 
先前已知針對Qnap裝置的勒索軟體攻擊包括DeadBolt、Checkmate和Qlocker。  這些團體曾對NAS使用者發動多次攻擊,有時利用零日漏洞入侵裝置。
 
NAS使用者應保持軟體更新,更不要將這類裝置暴露在網際網路上。

本文轉載自bleepingcomputer。