QNAP 修复 NAS 备份应用中的严重漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
台湾网络附加存储 (NAS) 厂商 QNAP 修复了一个严重漏洞,它本可攻陷易受攻击 NAS 设备的安全性。
该漏洞是一个访问控制不当漏洞 (CVE-2021-28809),由 TXONE IoT/ICS 安全研究实验室的研究员 Ta-Lun Yen 在 QNAP 的灾难恢复和数据备份解决方案 HBS 3 Hybrid Backup Sync 中找到的。
该漏洞是由具有 bug 的软件引发的,该软件未正确地限制攻击者获得对系统资源的访问权限,从而导致它们提升权限、远程执行命令或在未授权情况下读取敏感信息。
QNAP 表示,该漏洞已在如下 HBS 版本中修复并建议客户将如下应用更新至最新发布的版本:
QTS 4.3.6:HBS 3 v3.0.210507 及后续版本
QTS 4.3.4:HBS 3 v3.0.210506 及后续版本
QTS 4.3.3:HBS 3 v3.0.210506 及后续版本
然而,虽然 QNAP 公司发布安全公告称 CVE-2021-28809 已修复,但自2021年5月14日其,该app的发布备注中并未列出任何安全更新。
QNAP 公司指出,运行 HBS 3 v16.x 的QTS 4.5.x 的 QNAP NAS 设备并不受影响且并未暴露到攻击中。
HBS 后门账户遭 Qlocker 勒索软件利用
4月份,QNAP 公司还修复了位于 HBS 3 Hybrid Backup Sync 备份和灾难恢复 app 中的另外一个严重漏洞。
它是一个后门账户缺陷,最初被该公司描述为“硬编码凭证”,之后被描述为“授权不当”。该后门账户可导致 Qlocker 勒索软件操纵人员加密暴露在互联网的 NAS 设备。
至少从4月19日开始,Qlocker 开始大规模攻击 QNAP 设备,部署勒索软件 payload并删除了受害者受密码保护的 7zip 文档文件并要求支付勒索金。
该勒索团伙要求支付0.01个比特币(当时值500美元),在仅仅5天内就牟利26万美元。就在同一个月,QNAP 督促客户保护 NAS 设备安全,避免数据遭Agelocker 勒索攻击以及两周后督促避免遭 eChoraix 勒索攻击。
推荐阅读
QNAP 提醒客户注意 eCh0raix 勒索攻击和 Room Server 0day
RCE 0day影响数万台QNAP SOHO NAS 设备
QNAP 警告:NAS 设备正遭受暴力攻击
原文链接
https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-in-nas-backup-disaster-recovery-app/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
QNAP 修复 NAS 备份应用中的严重漏洞相关推荐
- VMware 修复多款产品中的高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,VMware 修复了影响 ESXi.Workstation.Fusion.Cloud Foundation和 NSX Data Cent ...
- CISA 督促VMware 管理员修复Workspace ONE UEM 中的严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 要求 VMware 管理员和用户修复 Workspace ONE UEM 控制台中的严重漏洞,它可遭威胁者滥用,获得对敏感信息的访问权 ...
- 【BlackHat】亚马逊和谷歌修复DNS即平台中的严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 在2021年美国黑帽大会上,云安全公司 Wiz 的两名安全研究员Shir Tamari 和 AmiLuttwak 披露了影响DNS托管服务 ...
- VMware 多款产品中存在严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware 提醒客户立即修复位于多款产品中的严重漏洞,它们可被用于发动远程代码执行攻击. 本周三,VMware 提醒称,"应该按照 ...
- 群晖和QNAP的NAS的备份功能的测试
原文网址:http://www.nas1.cn/thread-68635-1-1.html 群晖和QNAP都能在其NAS上做冗余磁盘(RAID-1或RAID-5)保护,以防磁盘损坏时丢失数据.但这不叫 ...
- RCE 0day影响数万台QNAP SOHO NAS 设备
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 SAM Seamless Network 公司的研究员警告称,QNAP SOHO 网络存储设备中被曝两个0day,可导致攻击者远程执行 ...
- 群晖备份linux分区,数据丢失的后悔药,群晖NAS备份方案详解
"秒速开机"--据说90%的人都是因为这句话而知道的SSD固态硬盘.相比于机械硬盘,SSD固态硬盘开机快.关机快.打开软件快.载入数据快.拷贝快.删除也快--既快乐.又爽快,更是大 ...
- 阿里云NAS备份服务
摘要: 阿里云NAS(Network Attached Storage)是一款高可靠高可用高性能的分布式存储产品,应用场景包括ECS.HPC.Docker等共享存储.目前已经有大量的客户使用NAS作为 ...
- 【NAS备份】摆脱丢数据的噩梦,群晖备份硬核实战教程分享
前言 大家好,我是村雨Mura,本期来聊一聊我是如何用 NAS 轻松.完整地备份自己数据的. 首先,硬件再好不如备份 即便从小的线材到硬盘的质量都用最好的,也很难保证不丢数据,宇宙射线.硬盘不可逆衰减 ...
最新文章
- 基于python的快速傅里叶变换FFT(一)
- 【今日CV 视觉论文速览】22 Nov 2018
- 华为Mate8刷低Android版本,华为mate8怎么刷机 华为mate8刷机方法【图文教程】
- python123系统基本信息获取_Python运维-获取当前操作系统的各种信息
- 单片机c语言数码显示实验报告,单片机c语言版数码动态显示实验报告.doc
- FORM开发实现动态LOV
- 工作流(activiti7)-简单的介绍和使用(二)
- php怎样转换jpg,php pdf如何转jpg
- 1317: PIPI的生日礼物
- CentOS7没有图形化界面,怎么安装图形化界面
- 关于龙勃透镜天线,看这一篇就够了!
- 亚马逊A9算法是什么?有什么作用?(案例详解)
- 2019年河南省对口升学计算机专业,2019年河南省对口升学:考试和录取
- 计算机启动进入桌面非常慢,电脑开机进入桌面特别慢
- 关于opencv读取摄像头1080P的测试
- 未解决的问题记录——微信小程序开发提示:系统错误
- linux 退出终端仍运行进程 日志输出,后台执行任务,不在终端打印信息
- 清华大学计算机科学与技术系分数线6,【清华大学分数线2017】2015-2016清华大学各省各专业录取分数线(6)...
- python读word表格_python读取word文件里的表格。
- 赋能长三角 海尔COSMOPlat再造中国工业互联网领域新样本