[情報] qnap修補漏洞進度慢 研究機構公開漏洞
資安機構 watchTowr 17 日發表聲明,批評 QNAP 至今仍未修復 1 月向其報告的安全漏洞,修補速度極其緩慢,為了讓 QNAP 正視問題,watchTowr 決定公開漏洞迫其儘快解決問題。
據了解,watchTowr 研究 QNAP NAS 的作業系統,包括 QTS、QuTSCloud 和 QTS hero 等共發現了 15 個嚴重漏洞,其中一個是 2023 年 12 月向 QNAP 公報告,其餘漏洞則是 1 月初報告,但直至 2024 年 5 月 17 日,只有 4 個漏洞已經被修復,6 個漏洞已被 QNAP 確認但未有修復,還有 5 個漏洞 QNAP 完全沒有作出公布。
根據資安業界標準,研究人員會提供 90 天的披露期限,在此時間內不會向公眾透露漏洞詳情,不過 watchTowr 稱 QNAP 得悉漏洞已超過 90 天期限,間期已多次要求延期,對於這些不存在補救障礙的漏洞,廠方仍然一直拖延處理,研究人員決定公開漏洞迫使其儘快修補。
watchTowr 目前已經在 GitHub 上公布了 QNAP NAS 上一個無需身份驗證的堆疊溢位漏洞 (CVE-2024-27130),只要有效的 NAS 使用者共享惡意文件,就可能導致遠端程式碼執行 (RCE) ,向 QNAP 施壓要求立即正視問題。
QNAP 曾經發生過 Qlocker 及 Deadbolt 等勒索軟件攻擊,按道理應該對關鍵漏洞處理變得更加積極,然而這次事件讓 watchTowr 感到相當震驚,儘管兩方溝通上 QNAP 表現非常合作,但 watchTowr 仍會毫不猶豫地譴責那些忽視 90 天披露期限的供應商,修補漏洞是刻不容緩。
-----
心得:記得之前qnap才出一波大問題,現在又爆出漏洞修補進度緩慢,希望版上用戶一切平安。
--
爛得要死
群暉又要漲價惹嗎
這樣算是0 day嗎
不重要啦,把硬體規格拿出來吹一下就能賣了
趕快改名成k(id)Nap吧
在台灣 洩漏的人就要被吉了
鄉民:"能動就不要動它!"
台灣不重視軟體,莫此為甚
一部分消費者想說買品牌不自己組TrueNAS,就是想說
有保固有維護.哈結果被爛公司狠狠打臉
watchTowr 會被告嗎
買NAS不買群暉的 想必資料也不是很重要 沒差囉
為了讓QNAP正視問題 watchTowr公開漏洞迫其解決問題
笑了
被公開漏洞 現在NAS先當DAS用了 可怕
32
[情報] QNAP出大事了 新Deadbolt漏洞!!這次 DeadBolt 據 QNAP 公告 是 Photo Station 漏洞導致的 駭客挑週六、週日這兩天發作![[情報] QNAP出大事了 新Deadbolt漏洞!!](https://i.imgur.com/nzgCdQmb.png "[情報] QNAP出大事了 新Deadbolt漏洞!!")
23
Re: [情報] qnap又中勒索了剛查了一下QNAP的公告 說是有個系統提權漏洞剛修好 並釋出更新版本 但被駭客拿來攻擊還沒升級這個修復版本的NAS20
Re: [情報] QNAP NAS遭勒索軟體盯上大家 那個不幸的,這次我的QNAP中勒索了。 4/21 下午四點多中招,今天早上才發現 整個NAS裡面低於20MB的檔案都被鎖定成.7z的壓縮檔。 並且該目錄下有個 !!!READ_ME.txt 文字檔![Re: [情報] QNAP NAS遭勒索軟體盯上](https://s4.itho.me/sites/default/files/field/image/qlocker-payment-page-w.png "Re: [情報] QNAP NAS遭勒索軟體盯上")
21
Fw: [情報] QNAP出大事了 新Deadbolt漏洞!!作者: zhtw (Select None) 看板: PC_Shopping 標題: [情報] QNAP出大事了 新Deadbolt漏洞!! 時間: Mon Sep 5 16:01:39 202212
[閒聊] Re: [情報] QNAP出大事了 新Deadbolt漏洞!!給各位中招的苦主 請馬上暫停同步並關閉qsync然後將同步資料夾內的檔案搬到非同步資料夾 我也中招了 不過本地端檔案還健在 想說算了摸摸鼻子自己去把nas重置了 結果今天打開電腦一看之前同步資料夾內的檔案全沒了9
Re: [情報] QNAP NAS遭勒索軟體盯上若按照這篇報導所使用的漏洞是CVE-2020-2509以及CVE-2020-36195的話, 這兩個漏洞在QTS 4.5.X上是去年11月就修好了,但並不是所有型號的NAS都能上4.5 QTS 4.3.X一直拖到今年三月才修 白帽駭客展示的影片也很誇張,從8080port連上去直接就把密碼挖出來了![Re: [情報] QNAP NAS遭勒索軟體盯上](https://securingsam.com/wp-content/uploads/2021/03/Export_Blog_v1.jpeg "Re: [情報] QNAP NAS遭勒索軟體盯上")
8
[情報] Synology警告嚴重安全性漏洞 快升DSM 7.1Synology近日警告使用者他們的NAS將遇到多個Netatalk漏洞的攻擊: "多個漏洞允許遠端攻擊者取得敏感訊息,且容易透過舊版DSM或SRM來進行攻擊,執行任意 程式碼。"![[情報] Synology警告嚴重安全性漏洞 快升DSM 7.1](https://i.imgur.com/Mv2xyjLb.jpg "[情報] Synology警告嚴重安全性漏洞 快升DSM 7.1")
6
[閒聊] QNAP NAS被發現重大安全漏洞QNAP 繼 Qlocker 攻撃後再被爆安全漏洞,IT 安全新聞網站 Bleeping Computer 23 日報導,台灣資安公司 ZUSO 發現 QNAP NAS 中存在後門帳戶,影響到所有正在運行 HBS 3 Hybrid Backup Sync 服務的裝置,駭客可以借助此漏洞登錄 QNAP NAS 並取得控制,此漏洞被評為 Critical 嚴重,建議用戶立即修復此漏洞。 HBS 3 Hybrid Backup Sync 服務是用作災難恢復和數據備份用途,備份檔案至本地端 NAS、外接裝置 (USB 一鍵啟動備份功能)、遠端伺服器或雲端儲存空間中,確保重要資料妥善保存,更可讓您便利追蹤修改紀錄。 受影響的 HBS 3 Hybird Backup Sync 版本包括︰ ♦ QTS 4.5.2:HBS 3 Hybrid Backup Sync 16.0.0415 及更高版本 ♦ QTS 4.3.6:HBS 3混合備份同步3.0.210412 及更高版本![[閒聊] QNAP NAS被發現重大安全漏洞](https://file1.hkepc.net/2021/04/source/2316184727876658578.jpg "[閒聊] QNAP NAS被發現重大安全漏洞")
7
Re: [情報] QNAP NAS遭勒索軟體盯上總之Qlocker的攻擊管道嫌犯目前有兩個 1.QNAP猜測的QSA-21-05與QSA-21-11 2.時間點相當接近的QSA-21-13 (HBS3) 這兩個弱點修補的時程 1.這兩個漏洞要更新韌體才能解決,但在QTS 4.5.X上是去年11月就修好了