台灣網路儲存設備廠商威聯通(QNAP),日前發表最新資安通報,修復一個可能造成駭侵者提升權限、遠端執行任意程式碼的嚴重漏洞;QNAP NAS 用戶應立即依照資安通報内的指示更新系統軟體,以降低遭到駭侵攻擊的風險。
得到修復的嚴重漏洞,其 CVE 編號為 CVE-2021-28809,屬於存取控制不當漏洞,存於 QNAP NAS 内建的資料備份暨還原應用程式 HBS 3 Hybrid Backup Sync 之中。
該漏洞的危險程度分級為最高等級的「嚴重」(Critical),其發生主因是由於程式内的錯誤,造成 NAS 系統無法有效阻擋駭侵者取得系統資源;駭侵者可藉由這個漏洞,提升自身執行權限,遠端執行任意程式碼,或是在未經管理者授權的情形下,任意讀取系統内儲存的各種資料。
QNAP 雖然在日前才發布資安通報,但又表示下列版本的 QNAP NAS 作業系統 QTS 中的 HBS 3 早已完成修復;這些 QTS 和對應的 HBS 3 版本如下:
- QTS 4.3.6: HBS 3 v3.0.210507 與其後版本
- QTS 4.3.4: HBS 3 v3.0.210506 與其後版本
- QTS 4.3.3: HBS 3 v3.0.210506 與其後版本
另外 QNAP 也表示,執行 QTS 4.5.x 與 HBS 3 V16.x 版本的用戶,其軟體不存有此漏洞,因此不必擔心駭侵者透過此漏洞發動攻擊。
CVE編號:CVE-2021-28809
影響產品/版本:
- QTS 4.3.6: HBS 3 v3.0.210507 之前版本
- QTS 4.3.4: HBS 3 v3.0.210506 之前版本
- QTS 4.3.3: HBS 3 v3.0.210506 之前版本
解決方案:升級至下列版本:
- QTS 4.3.6: HBS 3 v3.0.210507 與其後版本
- QTS 4.3.4: HBS 3 v3.0.210506 與其後版本
- QTS 4.3.3: HBS 3 v3.0.210506 與其後版本
本文轉載自TWCERT/CC。