Pwn2Own Ireland 2024：TrueNAS与QNAP设备曝出重大安全漏洞

土耳鸡烤鸡

说到 TrueNAS 这个玩意儿，对外行人来说可能无比陌生，但在不少 NAS 爱好者心中，这个名字简直是如雷贯耳，熟悉得不能再熟悉了。

在最近的 Pwn2Own Ireland 2024 大赛上，一群安全研究员们像拆盲盒一样，发现了各种高人气设备中的安全漏洞，从网络附加存储（NAS）设备到摄像头，再到其他各类联网小玩意儿，简直让人眼花缭乱。

TrueNAS 可是这次大赛中的“明星”之一，他们那些默认配置且未加任何防护措施的产品，不幸成为了研究员们的“猎物”。

不过别担心！比赛一结束，TrueNAS 就马不停蹄地开始推出更新，誓要保护他们的产品，不让这些新发现的漏洞有机可乘。

在比赛中，多个团队充分利用了TrueNAS Mini X设备，生动展示了攻击者如何利用不同网络设备之间的互连漏洞。特别值得一提的是，Viettel网络安全团队通过巧妙地将QNAP路由器的SQL注入和认证绕过漏洞与TrueNAS设备连接起来，一举拿下了50,000美元奖金和10个Master of Pwn积分，真是让人佩服！

不仅如此，Computest Sector 7团队也通过利用四个关键漏洞，成功攻破了QNAP路由器和TrueNAS Mini X。这些漏洞包括命令注入、SQL注入、认证绕过、证书验证不当以及硬编码加密密钥等，可谓防不胜防。

TrueNAS 对此迅速作出了回应，发布了一份面向用户的公告，坦诚地承认了这些漏洞，并强调了遵循安全建议的重要性。他们强烈建议所有用户认真阅读最新公布的安全指南，并将最佳实践付诸行动。这样不仅能大大降低潜在威胁的风险，还能在补丁完全推出之前，确保用户的资料不被黑客们轻易得手。毕竟，谁也不想成为黑客午夜狂欢时的小点心，对吧？

sadfun

谢谢分享~难怪提示更新了

avalger

漏洞无处不在