QNAP 修補兩個零日漏洞，用戶應盡速更新

2024 / 11 / 01

編輯部

網路儲存設備大廠 QNAP 近日釋出安全更新，修補了在上週 Pwn2Own 駭客競賽中被利用的兩個零日漏洞。這些漏洞可讓攻擊者獲得 NAS 設備的最高權限，對使用者資料造成嚴重威脅。

第一個漏洞（CVE-2024-50387）存在於 QNAP 的 SMB 服務中，是一個 SQL 注入漏洞。攻擊者可利用此漏洞取得 root 權限，完全控制受影響的設備。QNAP 在 4.15.002 和 h4.15.002 以上版本中修復了此問題。

第二個漏洞則出現在 HBS 3 Hybrid Backup Sync 災難復原和資料備份解決方案中。越南資安公司 Viettel Cyber Security 在 Pwn2Own 競賽中利用此漏洞，成功執行任意命令並入侵 QNAP TS-464 NAS 設備，最終贏得了此次比賽的冠軍。

儘管廠商在漏洞披露後有 90 天的修補期限，QNAP 仍在一週內迅速提供了安全更新，展現了對使用者資安的重視。然而，過去 QNAP 設備曾多次成為駭客的攻擊目標，NAS常用於儲存重要資料，成為勒索軟體和資料竊取的首要目標。

資安專家建議 QNAP NAS 使用者儘速更新韌體，以防範潛在的網路攻擊。使用者可登入 QuTS hero 或 QTS 管理介面，透過 App Center 中的「SMB Service」應用程式執行更新。維持系統在最新版本，搭配強健的帳號密碼管理，是保護 NAS 設備安全的不二法門。

對於儲存商業機密、個人隱私等敏感資料的企業和個人而言，持續關注並升級資安防護，已成為數位時代的必修課題。

本文轉載自bleepingcomputer。

Pwn2Own SQL 注入漏洞 0-day漏洞