https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

新聞

QNAP 修補兩個零日漏洞,用戶應盡速更新

2024 / 11 / 01
編輯部
QNAP 修補兩個零日漏洞,用戶應盡速更新
網路儲存設備大廠 QNAP 近日釋出安全更新,修補了在上週 Pwn2Own 駭客競賽中被利用的兩個零日漏洞。這些漏洞可讓攻擊者獲得 NAS 設備的最高權限,對使用者資料造成嚴重威脅。

第一個漏洞(CVE-2024-50387)存在於 QNAP 的 SMB 服務中,是一個 SQL 注入漏洞。攻擊者可利用此漏洞取得 root 權限,完全控制受影響的設備。QNAP 在 4.15.002 和 h4.15.002 以上版本中修復了此問題。

第二個漏洞則出現在 HBS 3 Hybrid Backup Sync 災難復原和資料備份解決方案中。越南資安公司 Viettel Cyber Security 在 Pwn2Own 競賽中利用此漏洞,成功執行任意命令並入侵 QNAP TS-464 NAS 設備,最終贏得了此次比賽的冠軍。

儘管廠商在漏洞披露後有 90 天的修補期限,QNAP 仍在一週內迅速提供了安全更新,展現了對使用者資安的重視。然而,過去 QNAP 設備曾多次成為駭客的攻擊目標,NAS常用於儲存重要資料,成為勒索軟體和資料竊取的首要目標。

資安專家建議 QNAP NAS 使用者儘速更新韌體,以防範潛在的網路攻擊。使用者可登入 QuTS hero 或 QTS 管理介面,透過 App Center 中的「SMB Service」應用程式執行更新。維持系統在最新版本,搭配強健的帳號密碼管理,是保護 NAS 設備安全的不二法門。

對於儲存商業機密、個人隱私等敏感資料的企業和個人而言,持續關注並升級資安防護,已成為數位時代的必修課題。

本文轉載自bleepingcomputer。