台灣網路儲存設備(NAS)大廠 QNAP,日前針對 Zerologon 嚴重資安漏洞發布資安警訊;並公布受影響的 NAS 作業系統版本號碼;建議相關用戶更新到最新的 QTS NAS 作業系統,以修補漏洞。
QNAP說明,若用戶之 NAS不是部署為 Active Directory 的 domain controller ,不受 Zerologon 漏洞影響。因此非相關之用戶在固定排程時更新即可,不需受時間壓力安排緊急更新。
在 QNAP 發表的資安通報中指出,微軟在本月初公布的 Zerologon(CVE-2020-1472)嚴重資安漏洞,也出現在該公司部分 NAS 機種使用的 QTS 作業系統中連接微軟網路的子系統;若不立即修補該漏洞,可能導致駭侵者用以跳過系統資安驗證程多,提升自身執行權限,遠端執行任意程式碼,並且挾持 QNAP NAS 本體並攻擊內部網路中的其他設備。
據 QNAP 發表的資安通報指出,建議相關用戶應升級到以下 QTS 版本:
- QTS 4.5.1.1456 build 20201015 與更新版本
- QTS 4.4.3.1439 build 20200925 與更新版本
- QTS 4.3.6.1446 Build 20200929 與更新版本
- QTS 4.3.4.1463 build 20201006 與更新版本
- QTS 4.3.3.1432 build 20201006 與更新版本
擁有 QNAP NAS 設備的用戶,應立即檢查 QTS 版本並升級至最新版,以降低遭駭侵攻的的風險。