NAS 廠商 QNAP 去年底被發現旗下產品的系統存在漏洞,不過至今仍然有部分漏洞未被修復,安全研究人員因此公佈漏洞,希望 QNAP 儘快處理。
這些漏洞存在於 QNAP 的 QTS、QuTSCloud 和 QTS hero 系統中,本身 watchTowr 的研究員早在去年 12 月開始陸續向 QNAP 方面報告多達 15 個問題,不過只有 4 個獲得修復,另外 6 個雖然被 QNAP 確認但仍然未有修復,剩餘 5 個則仍然未有公佈。
業界標準容許廠商有 90 日的時間修補漏洞,而今次安全研究員已經提供了相當長的時間,但 QNAP 方面雖然非常合作,提供遙距存取測試環境讓研究人員深入了解問題,但未有及時修補漏洞。watchTowr 目前已經在在 GitHub 上發佈了其中一個涉及堆棧溢出的概念驗證 (PoC) 漏洞利用代碼(CVE-2024-27130),催促 QNAP 採取行動。
QNAP 之前曾經發生過因為涉及 Qlocker 和 DeadBolt 等勒索軟件攻擊的安全漏洞,強行更新裝置導致部分用戶數據消失的問題。watchTowr 強調,鑒於 QNAP 曾遭受過破壞性攻擊,因此需要加快修補系統避免重蹈覆轍。
更新:漏洞現時已修正,官方建議用戶立即更新至 QTS 5.1.7 / QuTS hero h5.1.7,以確保 NAS 系統受到保護。
來源:The Register
