QNAP 修复 NAS 备份应用中的严重漏洞

QNAP 修复 NAS 备份应用中的严重漏洞_第1张图片 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

台湾网络附加存储 (NAS) 厂商 QNAP 修复了一个严重漏洞,它本可攻陷易受攻击 NAS 设备的安全性。

该漏洞是一个访问控制不当漏洞 (CVE-2021-28809),由 TXONE IoT/ICS 安全研究实验室的研究员 Ta-Lun Yen 在 QNAP 的灾难恢复和数据备份解决方案 HBS 3 Hybrid Backup Sync 中找到的。

该漏洞是由具有 bug 的软件引发的,该软件未正确地限制攻击者获得对系统资源的访问权限,从而导致它们提升权限、远程执行命令或在未授权情况下读取敏感信息。

QNAP 表示,该漏洞已在如下 HBS 版本中修复并建议客户将如下应用更新至最新发布的版本:

  • QTS 4.3.6:HBS 3 v3.0.210507 及后续版本

  • QTS 4.3.4:HBS 3 v3.0.210506 及后续版本

  • QTS 4.3.3:HBS 3 v3.0.210506 及后续版本

然而,虽然 QNAP 公司发布安全公告称 CVE-2021-28809 已修复,但自2021年5月14日其,该app的发布备注中并未列出任何安全更新。

QNAP 公司指出,运行 HBS 3 v16.x 的QTS 4.5.x 的 QNAP NAS 设备并不受影响且并未暴露到攻击中。

HBS 后门账户遭 Qlocker 勒索软件利用

4月份,QNAP 公司还修复了位于 HBS 3 Hybrid Backup Sync 备份和灾难恢复 app 中的另外一个严重漏洞。

它是一个后门账户缺陷,最初被该公司描述为“硬编码凭证”,之后被描述为“授权不当”。该后门账户可导致 Qlocker 勒索软件操纵人员加密暴露在互联网的 NAS 设备。

至少从4月19日开始,Qlocker 开始大规模攻击 QNAP 设备,部署勒索软件 payload并删除了受害者受密码保护的 7zip 文档文件并要求支付勒索金。

该勒索团伙要求支付0.01个比特币(当时值500美元),在仅仅5天内就牟利26万美元。就在同一个月,QNAP 督促客户保护 NAS 设备安全,避免数据遭Agelocker 勒索攻击以及两周后督促避免遭 eChoraix 勒索攻击。

推荐阅读

QNAP 提醒客户注意 eCh0raix 勒索攻击和 Room Server 0day

RCE 0day影响数万台QNAP SOHO NAS 设备

QNAP 警告:NAS 设备正遭受暴力攻击

原文链接

https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-in-nas-backup-disaster-recovery-app/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

QNAP 修复 NAS 备份应用中的严重漏洞_第2张图片

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

   QNAP 修复 NAS 备份应用中的严重漏洞_第3张图片 觉得不错,就点个 “在看” 或 "赞” 吧~

你可能感兴趣的:(informix,安全,数据安全,mooc,ext)