QNAP 修复 NAS 备份应用中的严重漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

台湾网络附加存储 (NAS) 厂商 QNAP 修复了一个严重漏洞，它本可攻陷易受攻击 NAS 设备的安全性。

该漏洞是一个访问控制不当漏洞 (CVE-2021-28809)，由 TXONE IoT/ICS 安全研究实验室的研究员 Ta-Lun Yen 在 QNAP 的灾难恢复和数据备份解决方案 HBS 3 Hybrid Backup Sync 中找到的。

该漏洞是由具有 bug 的软件引发的，该软件未正确地限制攻击者获得对系统资源的访问权限，从而导致它们提升权限、远程执行命令或在未授权情况下读取敏感信息。

QNAP 表示，该漏洞已在如下 HBS 版本中修复并建议客户将如下应用更新至最新发布的版本：

• QTS 4.3.6：HBS 3 v3.0.210507 及后续版本

• QTS 4.3.4：HBS 3 v3.0.210506 及后续版本

• QTS 4.3.3：HBS 3 v3.0.210506 及后续版本

然而，虽然 QNAP 公司发布安全公告称 CVE-2021-28809 已修复，但自2021年5月14日其，该app的发布备注中并未列出任何安全更新。

QNAP 公司指出，运行 HBS 3 v16.x 的QTS 4.5.x 的 QNAP NAS 设备并不受影响且并未暴露到攻击中。

HBS 后门账户遭 Qlocker 勒索软件利用

4月份，QNAP 公司还修复了位于 HBS 3 Hybrid Backup Sync 备份和灾难恢复 app 中的另外一个严重漏洞。

它是一个后门账户缺陷，最初被该公司描述为“硬编码凭证”，之后被描述为“授权不当”。该后门账户可导致 Qlocker 勒索软件操纵人员加密暴露在互联网的 NAS 设备。

至少从4月19日开始，Qlocker 开始大规模攻击 QNAP 设备，部署勒索软件 payload并删除了受害者受密码保护的 7zip 文档文件并要求支付勒索金。

该勒索团伙要求支付0.01个比特币（当时值500美元），在仅仅5天内就牟利26万美元。就在同一个月，QNAP 督促客户保护 NAS 设备安全，避免数据遭Agelocker 勒索攻击以及两周后督促避免遭 eChoraix 勒索攻击。

推荐阅读

QNAP 提醒客户注意 eCh0raix 勒索攻击和 Room Server 0day

RCE 0day影响数万台QNAP SOHO NAS 设备

QNAP 警告：NAS 设备正遭受暴力攻击

原文链接

https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-in-nas-backup-disaster-recovery-app/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~