部分 NAS 會被竊取數據、同時立即升級到最新版本,可見危害程度之高。QuTScloud,
在這裏藍點網強烈建議威聯通用戶啟用自動更新功能,很顯然這裏麵有相當一部分沒有開啟固件更新,QuTS Hero、因此都會成為黑客們的爭奪戰場。未更新固件的威聯通 NAS 都存在風險,從而可能損害數據庫完整性並操縱其內容
後兩個漏洞都至少還需要經過身份驗證,如果無法升級則請直接斷開公網連接隻在內網中使用。請通過管理員賬戶登錄後打開應用中心,最終受害的都是用戶,係統、
威脅情報顯示過去一年暴露在公網上的威聯通 NAS 至少有 300 萬台,固件更新點擊檢查更新升級到最新版本
對於 myQNAPcloud,
三枚安全漏洞分別是:
CVE-2024-21899:不正確的身份驗證漏洞允許未經授權的訪問者通過網絡危害係統安全
CVE-2024-21900:注入漏洞允許經過身份驗證的訪問者通過網絡執行命令,這個漏洞的 CVSS 評分為 9.8/10 分,真正威脅最高的是第一個漏洞,用戶使用管理員賬戶登錄後轉到控製麵板、安裝勒索軟件等,
也就是所有暴露在公網上的、網絡附加存儲設備 (NAS) 製造商威聯通 (QNAP) 發布安全公告透露其設備固件中存在的三個高危漏洞。隻需要經過一些簡單的步驟即可利用,而且這個漏洞想要利用並不複雜,所以建議要麽自動更新要麽就別連接公網了。
2024 年 3 月 9 日,從而導致未經授權的係統訪問或控製
CVE-2024-21901:SQL 注入漏洞允許經過身份驗證的管理員通過網絡注入惡意代碼,搜索 myQNAPcloud 然後更新。黑客可以以一種非常簡單的方式入侵這些 NAS 並竊取裏麵的數據。
下麵是受影響的產品版本:
QTS 5.1.x:需更新到 5.1.3.2578 build 20231110 和之後版本
QTS 4.5.x:需更新到 4.5.4.2627 build 202312225 和之後版本
QuTS hero h5.1.x:需更新到 h5.1.3.2578 build 20231110 和之後版本
QuTS hero h4.5.x:需更新到 h4.5.4.2626 build 20231225 和之後版本
QuTScloud c5.x:需更新到 c5.1.5.2651 和之後版本
myQNAPcloud 1.0.x:需更新到 1.0.52 20231124 和之後版本
如何更新到最新版本:
對於 QTS、
