威联通(QNAP)NAS出现严重安全问题无需账号密码即可登录并获取数据

gdtv · 发表于 2024-3-12 11:04:54

爱科技、爱创意、爱折腾、爱极致，我们都是技术控

您需要登录才可以下载或查看，没有账号？立即注册

x

2024 年 3 月 9 日，网络附加存储设备 (NAS) 制造商威联通 (QNAP) 发布安全公告透露其设备固件中存在的三个高危漏洞。
在这里蓝点网强烈建议威联通用户启用自动更新功能，同时立即升级到最新版本，如果无法升级则请直接断开公网连接只在内网中使用。

登录/注册后可看大图

三枚安全漏洞分别是：
CVE-2024-21899：不正确的身份验证漏洞允许未经授权的访问者通过网络危害系统安全
CVE-2024-21900：注入漏洞允许经过身份验证的访问者通过网络执行命令，从而导致未经授权的系统访问或控制
CVE-2024-21901：SQL 注入漏洞允许经过身份验证的管理员通过网络注入恶意代码，从而可能损害数据库完整性并操纵其内容
后两个漏洞都至少还需要经过身份验证，真正威胁最高的是第一个漏洞，这个漏洞的 CVSS 评分为 9.8/10 分，可见危害程度之高。
而且这个漏洞想要利用并不复杂，只需要经过一些简单的步骤即可利用，也就是所有暴露在公网上的、未更新固件的威联通 NAS 都存在风险，黑客可以以一种非常简单的方式入侵这些 NAS 并窃取里面的数据。
下面是受影响的产品版本：
QTS 5.1.x：需更新到 5.1.3.2578 build 20231110 和之后版本
QTS 4.5.x：需更新到 4.5.4.2627 build 202312225 和之后版本
QuTS hero h5.1.x：需更新到 h5.1.3.2578 build 20231110 和之后版本
QuTS hero h4.5.x：需更新到 h4.5.4.2626 build 20231225 和之后版本
QuTScloud c5.x：需更新到 c5.1.5.2651 和之后版本
myQNAPcloud 1.0.x：需更新到 1.0.52 20231124 和之后版本
如何更新到最新版本：
对于 QTS、QuTS Hero、QuTScloud，用户使用管理员账户登录后转到控制面板、系统、固件更新点击检查更新升级到最新版本
对于 myQNAPcloud，请通过管理员账户登录后打开应用中心，搜索 myQNAPcloud 然后更新。
威胁情报显示过去一年暴露在公网上的威联通 NAS 至少有 300 万台，很显然这里面有相当一部分没有开启固件更新，因此都会成为黑客们的争夺战场。
部分 NAS 会被窃取数据、安装勒索软件等，最终受害的都是用户，所以建议要么自动更新要么就别连接公网了。