QNAP 修复 NAS 备份应用中的严重漏洞
编译:奇安信代码卫士
台湾网络附加存储 (NAS) 厂商 QNAP 修复了一个严重漏洞,它本可攻陷易受攻击 NAS 设备的安全性。
该漏洞是一个访问控制不当漏洞 (CVE-2021-28809),由 TXONE IoT/ICS 安全研究实验室的研究员 Ta-Lun Yen 在 QNAP 的灾难恢复和数据备份解决方案 HBS 3 Hybrid Backup Sync 中找到的。
该漏洞是由具有 bug 的软件引发的,该软件未正确地限制攻击者获得对系统资源的访问权限,从而导致它们提升权限、远程执行命令或在未授权情况下读取敏感信息。
QNAP 表示,该漏洞已在如下 HBS 版本中修复并建议客户将如下应用更新至最新发布的版本:
QTS 4.3.6:HBS 3 v3.0.210507 及后续版本
QTS 4.3.4:HBS 3 v3.0.210506 及后续版本
QTS 4.3.3:HBS 3 v3.0.210506 及后续版本
然而,虽然 QNAP 公司发布安全公告称 CVE-2021-28809 已修复,但自2021年5月14日其,该app的发布备注中并未列出任何安全更新。
QNAP 公司指出,运行 HBS 3 v16.x 的QTS 4.5.x 的 QNAP NAS 设备并不受影响且并未暴露到攻击中。
HBS 后门账户遭 Qlocker 勒索软件利用
4月份,QNAP 公司还修复了位于 HBS 3 Hybrid Backup Sync 备份和灾难恢复 app 中的另外一个严重漏洞。
它是一个后门账户缺陷,最初被该公司描述为“硬编码凭证”,之后被描述为“授权不当”。该后门账户可导致 Qlocker 勒索软件操纵人员加密暴露在互联网的 NAS 设备。
至少从4月19日开始,Qlocker 开始大规模攻击 QNAP 设备,部署勒索软件 payload并删除了受害者受密码保护的 7zip 文档文件并要求支付勒索金。
该勒索团伙要求支付0.01个比特币(当时值500美元),在仅仅5天内就牟利26万美元。就在同一个月,QNAP 督促客户保护 NAS 设备安全,避免数据遭Agelocker 勒索攻击以及两周后督促避免遭 eChoraix 勒索攻击。
RCE 0day影响数万台QNAP SOHO NAS 设备
QNAP 警告:NAS 设备正遭受暴力攻击
https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-in-nas-backup-disaster-recovery-app/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。