QNAP 修复 NAS 备份应用中的严重漏洞

最新推荐文章于 2024-04-23 16:29:26 发布
最新推荐文章于 2024-04-23 16:29:26 发布
阅读量625 收藏
点赞数
文章标签: informix 安全 数据安全 mooc ext
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

台湾网络附加存储 (NAS) 厂商 QNAP 修复了一个严重漏洞,它本可攻陷易受攻击 NAS 设备的安全性。

该漏洞是一个访问控制不当漏洞 (CVE-2021-28809),由 TXONE IoT/ICS 安全研究实验室的研究员 Ta-Lun Yen 在 QNAP 的灾难恢复和数据备份解决方案 HBS 3 Hybrid Backup Sync 中找到的。

该漏洞是由具有 bug 的软件引发的,该软件未正确地限制攻击者获得对系统资源的访问权限,从而导致它们提升权限、远程执行命令或在未授权情况下读取敏感信息。

QNAP 表示,该漏洞已在如下 HBS 版本中修复并建议客户将如下应用更新至最新发布的版本:

  • QTS 4.3.6:HBS 3 v3.0.210507 及后续版本

  • QTS 4.3.4:HBS 3 v3.0.210506 及后续版本

  • QTS 4.3.3:HBS 3 v3.0.210506 及后续版本

然而,虽然 QNAP 公司发布安全公告称 CVE-2021-28809 已修复,但自2021年5月14日其,该app的发布备注中并未列出任何安全更新。

QNAP 公司指出,运行 HBS 3 v16.x 的QTS 4.5.x 的 QNAP NAS 设备并不受影响且并未暴露到攻击中。

HBS 后门账户遭 Qlocker 勒索软件利用

4月份,QNAP 公司还修复了位于 HBS 3 Hybrid Backup Sync 备份和灾难恢复 app 中的另外一个严重漏洞。

它是一个后门账户缺陷,最初被该公司描述为“硬编码凭证”,之后被描述为“授权不当”。该后门账户可导致 Qlocker 勒索软件操纵人员加密暴露在互联网的 NAS 设备。

至少从4月19日开始,Qlocker 开始大规模攻击 QNAP 设备,部署勒索软件 payload并删除了受害者受密码保护的 7zip 文档文件并要求支付勒索金。

该勒索团伙要求支付0.01个比特币(当时值500美元),在仅仅5天内就牟利26万美元。就在同一个月,QNAP 督促客户保护 NAS 设备安全,避免数据遭Agelocker 勒索攻击以及两周后督促避免遭 eChoraix 勒索攻击。

推荐阅读

QNAP 提醒客户注意 eCh0raix 勒索攻击和 Room Server 0day

RCE 0day影响数万台QNAP SOHO NAS 设备

QNAP 警告:NAS 设备正遭受暴力攻击

原文链接

https://www.bleepingcomputer.com/news/security/qnap-fixes-critical-bug-in-nas-backup-disaster-recovery-app/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
QNAP TURBO NAS軟體使用手冊
09-04
手册的内容还包括如何设置和配置QNAP NAS,如文件共享、用户权限管理、备份策略、网络设置、系统监控、应用程序安装以及系统维护等方面。它还可能涵盖了故障排除、更新固件和软件升级的步骤,以确保设备始终处于最新...
NAS备份操作
03-26
6. **恢复数据**:如果原数据丢失或损坏,可以使用NAS备份应用恢复数据。选择需要恢复的备份版本,应用会将文件还原到原始位置或指定的新位置。 7. **维护和更新**:定期检查和更新备份策略,以适应数据增长和需求...
QNAP严重漏洞可导致恶意代码注入
smellycat000的专栏
01-31 895
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士QNAP提醒客户安装QTS和QuTS固件更新。该更新修复了一个严重漏洞 (CVE-2022-27596),可导致远程攻击者在QNAP NAS设备上注入恶意代码。该漏洞是“严重”级别的漏洞,CVSS评分为9.8,影响操作系统QTS 版本5.0.1和QuTS hero版本h5.0.1。安全公告指出,该漏洞如遭利用,“可导致远程攻击者注入恶意代码”。Q...
QNAP 提醒用户修复 NAS 设备的高危 Linux Sudo 漏洞
smellycat000的专栏
03-30 816
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士QNAP 公司提醒客户修复位于 NAS 设备的一个高危 Sudo 提权漏洞 (CVE-2023-22809)。该漏洞是由 Synacktiv 安全研究员发现的,被描述为“sudo 用户在使用 sudoedit 时可绕过 Sudo 版本1.9.12p1的策略”漏洞。如成功利用使用 Sudo 版本1.8.0至1.9.12p1 的未修复设备上的漏洞...
NAS绝对安全吗?文件会不会泄露或被删除?
最新发布
Innocence_0的博客
04-23 1038
NAS(Network Attached Storage)并非绝对安全,因为任何系统都存在潜在的风险和漏洞。以下是一些可能导致文件泄露或被删除的情况:1. 物理安全:如果未采取适当的物理安全措施,例如未将NAS设备放置在安全环境或未正确锁定设备,则有可能被未经授权的人员物理接触或盗窃。2. 网络攻击:如果NAS设备与互联网连接并且未正确配置防火墙或未及时更新安全补丁,可能遭受网络攻击,导致文件泄露或被删除。
严重的PHP缺陷可导致QNAP NAS 设备遭RCE攻击
smellycat000的专栏
06-23 413
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士QNAP提醒客户称,攻击者可利用一个已存在三年的严重PHP漏洞 (CVE-2019-11043),在NAS设备执行远程代码。该公司在最新发布的安全公告表示,默认配置的NAS设备不受影响,运行老旧系统(在2017年至2019年期间发布)的设备受影响。QNAP 在安全公告支持,“PHP 低于7.1.33的版本7.1.x、...
QNAP提醒注意NAS设备严重的认证绕过漏洞
smellycat000的专栏
03-11 159
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士QNAP提醒称,NAS 软件产品包括 QTS、QuTS hero、QuTScloud和myQNAPcloud 存在多个漏洞,可导致攻击者访问设备。QNAP披露了三个漏洞,它们可导致认证绕过、命令注入和SQL注入后果。虽然后两类漏洞要求攻击者在目标系统上进行认证,从而大大降低了风险,但第一类漏洞CVE-2024-21899则可在无需认证的情况下遭...
Goby漏洞更新 | QNAP-NAS authLogin.cgi 文件 app_token 参数代码执行漏洞(CVE-2022-27596)
m0_46699477的博客
04-04 363
QNAP-NAS authLogin.cgi 文件 app_token 参数代码执行漏洞(CVE-2022-27596)
QNAP NAS在野漏洞攻击事件披露 .pdf
09-05
QNAP NAS在野漏洞攻击事件披露 安全架构 web安全 安全架构信息安全 安全建设
QNAP NAS 系统安装-dengzhang.docx
08-12
QNAP(Quality Network Appliance Provider)是一家知名的网络存储解决方案提供商,其产品包括网络附加存储(NAS)设备,用于个人和企业数据存储、备份、共享和多媒体应用。本教程将指导您如何安装QNAP NAS系统。 #...
QNAP NAS攻略
06-05
在《QNAP NAS圖解步驟全攻略》,Step by step的告訴你如果架構一個NAS,如何很簡單的將自己的資料有系統的備份在NAS,也可以結合行動裝置和NAS來做到即時影音娛樂。甚至NAS還可以變身為企業內部的應用平台。...
NAS数据恢复软件(NASDataRecovery)v4.0英文安装版
07-31
NAS Data Recovery是一款非常好用的NAS数据文件恢复工具,它可以帮助用户恢复XFS或EXT格式的NAS设备,例如Buffalo,Seagate,Western Digital,DLink或Iomega,并支持单驱动器,RAID-0,RAID-1和RAID-5配置。 特别介绍 NAS Data Recovery适用于所有的XFS或EXT2FS格式的单驱动器,像是由Buffalo,
qnap-git-server:在QNAP服务器上托管您自己的Git存储库
02-06
qnap-git-server:在QNAP服务器上托管您自己的Git存储库
Symbian OS C++高效编程的源码
03-02
这是Symbian OS C++高效编程的源码,很辛苦才找到的。
linux nas 数据恢复,QNAP NAS的恢复为例:它(QNAP Turbo时间)
weixin_34897112的博客
05-12 1140
Our client here brought their QNAP Turbo NAS device to Gillware when their data became inaccessible. The TVS-471, with three hard drives in a RAID-5 array, held their business’ entire financial record...
联想NAS惊现固件漏洞,数据安全如何能疏忽!
阿明观察
07-22 1374
国外网站公布了联想NAS设备面临网络攻击风险,存在严重的固件级漏洞,如果被利用,此漏洞可能会危及这些用户信息的安全性。 该漏洞仅存在于某些型号的NAS设备,并且允许未经身份验证的用户访问和读取存储在这些驱动器上的数据。此外,通过应用程序编程接口对这些设备进行利用。 安全专家发现至少有5100个易受攻击的设备和300多万个在线暴露的文件,然而,由于联想制造的NAS设备的广泛使用,暴露的用户...
Goby漏洞更新 QNAP-NAS authLogin,技术详细介绍
2401_84248479的博客
04-13 828
都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
合勤提醒注意 NAS 设备的多个严重漏洞
smellycat000的专栏
12-01 486
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士合勤 (Zyxel) 修复NAS设备的多个漏洞,其三个可导致未认证攻击者在易受攻击的NAS设备上执行操作系统命令。合勤NAS 系统用于在网络的一个心位置存储数据,旨在为大量数据服务并提供多种特性如数据备份、媒体流或自定义共享选项。常见的合勤 NAS 用户包括寻求结合数据管理、远程工作和协作特性的小型企业以及设置数据冗余系统的IT专业人员...
QNAP 修复两个严重的命令注入漏洞
smellycat000的专栏
11-07 294
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士QNAP Systems 发布安全公告,修复了影响 NAS 设备上多个 QTS 操作系统和应用程序版本的两个严重的命令注入漏洞。第一个漏洞是CVE-2023-23368,CVSS评分为9.8,是一个命令注入漏洞,可被远程攻击者通过网络用于执行命令。受该漏洞影响的QTS版本是QTS 5.0.X和4.5.x、QuTS hero h5.0.x和h4.5...
威联通Qnap NAS网络存储iSCSI的配置.doc
07-06
"这篇文档详细介绍了如何在威联通Qnap NAS设备上配置iSCSI服务,以便在集群服务器和虚拟环境使用。iSCSI(Internet Small Computer System Interface)是一种网络协议,它允许通过IP网络连接存储设备,实现远程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值