資安院示警：逾千台 Synology NAS 曝險未修補　漏洞利用程式已公開流傳

國家資通安全研究院（資安院）發布緊急警示，指出 Synology 網路儲存設備（Network Attached Storage, NAS）存在多項高風險漏洞，且漏洞利用方式已遭資安研究人員公開驗證。資安院透過設備識別發現，國內目前仍有超過一千台相關設備對外暴露且尚未完成更新，呼籲民眾與中小企業應儘速修補，以避免遭受資料竊取或勒索攻擊。

漏洞利用門檻大幅降低　短期風險明顯升高

資安院說明，本次事件涉及的漏洞已於 2024 年陸續被研究人員發現，並於 2025 年正式公告。然而近期情勢出現重大變化，由於已有資安研究人員實際驗證並公開相關漏洞的利用方式，駭客發動攻擊的技術門檻明顯降低。資安院警告，攻擊者可能在短期內對尚未修補的設備發動大規模掃描與攻擊，風險已顯著升高。

資安院進一步指出，這些漏洞在特定條件下可被串聯利用，攻擊者可能透過多個弱點逐步取得系統控制權。若設備未及時修補，最壞情況可能導致個人或企業檔案遭竊、備份資料被刪除，甚至整台 NAS 遭加密勒索，對日常生活與企業營運造成重大衝擊。

三項 CVE 漏洞影響範圍涵蓋主流產品線

本次警示涉及三項 CVE 漏洞，影響 Synology 旗下 BeeStation、DiskStation 及 DiskStation Manager（DSM）等主流產品線。各漏洞細節如下：

CVE-2024-50629 影響 Synology BeeStation Manager（BSM）與 DiskStation Manager（DSM）特定版本，可能導致遠端攻擊者讀取部分檔案內容。受影響版本包含 BSM 1.1-65374 之前版本，以及 DSM 7.1.1-42962-7、7.2-64570-4、7.2.1-69057-6、7.2.2-72806-1 之前版本。

CVE-2024-50630 影響 Synology Drive Server 的 webapi 元件，屬於關鍵功能缺少必要驗證的問題，可能使遠端攻擊者取得管理者憑證。受影響版本包含 BSM 1.1-65374 之前版本，以及 Drive Server 3.0.4-12699、3.2.1-23280、3.5.0-26085、3.5.1-26102 之前版本。

CVE-2024-50631 同樣影響 Synology Drive Server 的系統同步服務，屬於 SQL Injection 弱點，可能使遠端攻擊者注入 SQL 指令，惟僅限寫入操作。受影響版本範圍與 CVE-2024-50630 相同。

家庭用戶與中小企業皆為潛在受害者

資安院指出，Synology NAS 設備在國內具有相當的使用普及度。一般民眾常將設備作為家庭照片、影音檔案及電腦資料的集中保存工具。中小企業、工作室、診所或學校則可能透過相關系統進行檔案共享、資料備援，或提供內部與遠端存取服務。

資安院提醒，若上述設備或系統長時間連網且未即時更新修補，將可能成為駭客鎖定的攻擊目標。由於相關設備經常儲存重要的個人隱私資料或業務關鍵檔案，一旦遭受攻擊，損失往往難以估計。

四步驟緊急防護指南

Synology 原廠已釋出安全更新程式。資安院呼籲持有相關設備的企業組織與個人用戶，應立即將系統更新至最新版本。若非必要，建議關閉路由器的連接埠轉送（Port Forwarding）與 UPnP 功能，降低設備直接暴露於網際網路的風險。

若民眾發現裝置出現異常狀況，可洽詢 Synology 原廠客服管道尋求技術支援。

資安院表示，將持續進行漏洞研析與監測，掌握高風險設備態樣，並與相關單位合作聯防，協助國內降低整體資安風險。資安院再次呼籲，持有 Synology 相關設備的民眾與企業，請立即檢查系統版本並完成更新，切勿輕忽，避免設備成為駭客攻擊的下一個目標。