QNAP 近期發布多份安全公告,修補了多個嚴重漏洞,其中包含三個關鍵等級的資安漏洞,用戶應盡速進行更新。
Notes Station 3 存在遠端攻擊風險
QNAP NAS 系統的筆記與協作應用程式 Notes Station 3 存在兩個重要漏洞:
- CVE-2024-38643(CVSS v4 :9.3,關鍵等級):關鍵功能缺乏身份驗證機制,允許遠端攻擊者無需憑證即可未經授權存取並執行特定系統功能。
- CVE-2024-38645:伺服器端請求偽造(SSRF)漏洞,具備認證憑證的遠端攻擊者可發送特製請求,操縱伺服器端行為,可能導致敏感應用程式資料外洩。
QNAP 已在 Notes Station 3 版本 3.9.7 中修復這些問題。此外,該公告中還提及兩個高風險漏洞(CVE-2024-38644 和 CVE-2024-38646,CVSS v4 分數分別為 8.7 和 8.4),涉及命令注入和未授權資料存取問題。
QuRouter 路由器軟體修補關鍵漏洞
QNAP 的高速安全路由器產品線 QuRouter 2.4.x 也存在一個關鍵漏洞 CVE-2024-48860(CVSS v4 分數:9.5),這是一個作業系統命令注入漏洞,可能允許遠端攻擊者在主機系統上執行指令。QNAP 在 QuRouter 版本 2.4.3.106 中同時修復了這個漏洞以及另一個較不嚴重的命令注入問題(CVE-2024-48861)。
其他重要修補
QNAP 同時也修補了其他產品的高風險漏洞(CVSS v4 分數介於 7.7 到 8.7 之間):
- QNAP AI Core(AI 引擎):修復了 CVE-2024-38647 資訊洩露問題
- QuLog Center(日誌管理工具):修復了 CVE-2024-48862 檔案系統遍歷漏洞
- QTS(NAS 標準作業系統)和 QuTS Hero:修復了兩個格式字串處理不當漏洞(CVE-2024-50396 和 CVE-2024-50397)
針對此次漏洞,資安專家特別提醒 QNAP 用戶必須採取積極的防護措施。首要之務是盡快完成系統更新,以確保系統獲得最新的安全修補,降低遭受攻擊的風險。其次,專家強調,用戶應避免將 QNAP 設備直接暴露在網際網路環境中,這種直接連接的方式會大幅增加設備遭受攻擊的可能性。
作為替代方案,專家建議用戶應該透過 VPN 來部署和存取這些設備,藉由 VPN 的加密通道,可以有效防止駭客利用這些漏洞進行遠端攻擊,進一步確保系統的安全性。
受影響版本與更新建議:
- Notes Station 3:更新至 3.9.7 或更新版本
- QuRouter:更新至 2.4.3.106
- AI Core:更新至 3.4.1 或更新版本
- QuLog Center:更新至 1.7.0.831(1.7.x 版本)或 1.8.0.888(1.8.x 版本)
- QTS:更新至 5.2.1.2930
- QuTS hero:更新至 h5.2.1.2929
本文轉載自bleepingcomputer。