在这里,我们定期从硬件和软件角度报告 QNAP 和 Synology 的新解决方案。 QNAP 目前表示,部分台湾制造商的 NAS 设备受到安全漏洞的影响。
这种情况已经持续了几个月,根据日期为 2021 年 3 月 31 日的报告,发现安全漏洞的人向公司报告了此事,但没有发生任何事情。该漏洞于2020年10月12日和2020年11月29日向互联家庭安全公司SAM Seamless Network披露。据 SAM 称,这些是在 2020 年 9 月 29 日发布的 QNAP TS-231最新固件版本 4.3.6.1446 中发现的。
SAM 安全研究员 Yaniv Puyeski 写道:“我们向 QNAP 报告了这两个漏洞,并有四个月的时间来修复它们。” “不幸的是,截至本文发布,该漏洞尚未得到修复。Web 服务器和 DLNA 服务器模块中存在漏洞,可能会导致设备劫持。”
由于该漏洞的严重性,据信可能会对暴露在互联网上的数万台 QNAP 设备造成重大损害,因此我们决定暂时不透露全部细节。
报告后的第二天,QNAP QTS 4.3.6.1620 Build 20210322 发布了,所以我又检查了一遍。这里修复了许多错误,并且也弥补了安全漏洞。它似乎是一个列为 CVE-2020-2509(高严重性)的漏洞。 QNAP 用户可能应该阅读整篇文章并安装更新。
