網路儲存設備大廠 QNAP 於上週五發布重大安全更新,修補 7 個在國際駭客競賽 Pwn2Own Ireland 2025 中被成功利用的零日漏洞(Zero-Day Vulnerability)。此次漏洞影響 QTS 與 QuTS hero 作業系統,以及三款廣泛使用的應用程式。由於 QNAP 在台灣中小企業與家用市場擁有高市佔率,資安專家呼籲用戶應儘速更新,避免資料外洩或遭勒索軟體攻擊。
七項漏洞分布:作業系統與關鍵應用程式均受影響
根據 QNAP 安全通告,此次修補的漏洞涵蓋多個產品線。作業系統層面,QTS 與 QuTS hero 存在三項漏洞(CVE-2025-62847、CVE-2025-62848、CVE-2025-62849)。應用程式方面,Hyper Data Protector 資料保護軟體存在 CVE-2025-59389 漏洞、Malware Remover 惡意軟體移除工具存在 CVE-2025-11837 漏洞、HBS 3 Hybrid Backup Sync 混合備份同步軟體則有 CVE-2025-62840 與 CVE-2025-62842 兩項漏洞。
這些漏洞在 Pwn2Own Ireland 2025 競賽中,分別由 Summoning Team、台灣資安公司 DEVCORE、Team DDOS 以及 CyCraft 實習生成功展示攻擊手法。Pwn2Own 是全球知名的資安競賽,專門挑戰各類軟硬體產品的安全防護能力。
台灣用戶面臨的實際風險
QNAP 是台灣本土網路儲存設備製造商,在台灣中小企業、工作室及家用市場擁有廣大用戶群。許多企業使用 QNAP NAS 執行資料備份、檔案分享,部分用戶也將其作為監控錄影儲存或多媒體伺服器使用。
資安專家指出,NAS 設備往往儲存企業機密文件、客戶資料、財務紀錄與個人照片影片等敏感資料。若零日漏洞遭惡意攻擊者利用,可能導致資料外洩、勒索軟體加密檔案,甚至成為駭客滲透企業內網的跳板。
特別需要注意的是,許多中小企業與家用用戶為求遠端存取便利,常將 NAS 設備直接暴露於網際網路,若未及時更新修補程式,遭攻擊風險將大幅提升。
已修補版本與更新步驟
QNAP 已在以下版本修復所有漏洞:
- Hyper Data Protector 2.2.4.1 及後續版本
- Malware Remover 6.6.8.20251023 及後續版本
- HBS 3 Hybrid Backup Sync 26.2.0.938 及後續版本
- QTS 5.2.7.3297 build 20251024 及後續版本
- QuTS hero h5.2.7.3297 build 20251024 及後續版本
- QuTS hero h5.3.1.3292 build 20251024 及後續版本
更新作業系統的步驟為:以管理員身分登入 QTS 或 QuTS hero,前往「控制台」、「系統」、「韌體更新」,點選「Live Update」下的「檢查更新」。更新應用程式則需開啟「App Center」,點選搜尋按鈕後輸入應用程式名稱,在搜尋結果中點選「更新」並確認執行。
QNAP 建議用戶更新後變更所有密碼,並定期檢查系統更新,確保設備運行最新版本以獲得漏洞修補保護。
連續兩年成為目標,NAS 安全挑戰升級
2024 年競賽中,QNAP 修補了兩個零日漏洞,包括 Hybrid Backup Sync 的作業系統指令注入漏洞(CVE-2024-50388)與 SMB 服務的 SQL 注入漏洞(CVE-2024-50387)。
同日 QNAP 也發布 QuMagie 2.7.0,修補照片管理解決方案中的重大 SQL 注入漏洞(CVE-2025-52425),該漏洞可能允許遠端攻擊者執行未授權程式碼或指令。
資安專家提醒,隨著 NAS 設備功能擴展與應用場景增加,其成為攻擊目標的風險也隨之上升。用戶除及時更新系統外,也應檢視設備的網路存取權限設定,避免不必要的對外開放,並啟用多因素驗證( MFA)等額外防護措施,強化整體安全防護。
本文轉載bleepingcomputer。