QNAP 近期警告旗下數款 NAS 軟體產品存在安全漏洞,包括 QTS、QuTS hero、QuTScloud 和 myQNAPcloud,這些漏洞可能允許攻擊者存取設備。
揭露三大漏洞風險
QNAP 揭露的三項漏洞包括身份驗證繞過、命令注入和 SQL 注入。其中後兩項漏洞需要攻擊者在目標系統上獲得認證,從而大幅降低風險;然而,第一項漏洞(CVE-2024-21899)可遠程執行且不需認證,被標記為「低複雜性」。
影響範圍與更新建議
受影響的 QNAP 操作系統版本包括 QTS 5.1.x、QTS 4.5.x、QuTS hero h5.1.x、QuTS hero h4.5.x、QuTScloud c5.x 和 myQNAPcloud 1.0.x 服務。QNAP 建議用戶更新至修補這三個漏洞的最新版本,確保系統安全。
更新過程指南
對於 QTS、QuTS hero 和 QuTScloud 用戶,需要以管理員身份登入,導航至「控制面板 > 系統 > 韌體更新」,並點擊「檢查更新」以啟動自動安裝過程。更新 myQNAPcloud 時,則需以管理員身份登入,打開「應用中心」,在搜索框中輸入「myQNAPcloud」並按下 ENTER,然後在結果中點擊「更新」按鈕開始更新。
保護 NAS 裝置的重要性
NAS 裝置通常儲存大量對企業和個人都有價值的資料,包括敏感個人信息、智慧財產權和關鍵商業資料。但這些裝置往往未受到嚴格監控,持續連接互聯網且可能使用過時的操作系統或韌體。因此,NAS 裝置常成為資料竊取和敲詐的目標。已知針對 QNAP 裝置發動攻擊的勒索軟體操作包括 DeadBolt、Checkmate 和 Qlocker。
預防措施與建議
對於 NAS 裝置的擁有者來說,最佳建議是始終保持軟體更新,最好不要將這類裝置暴露於互聯網上,以防止潛在的安全威脅。
