威联通(QNAP)NAS隐现宽峻牢靠问题下场 无需账号稀码即可登录并患上到数据 – 蓝面网
我要评论2024 年 3 月 9 日,威联问题无需网汇散附减存储配置装备部署 (NAS) 制制商威联通 (QNAP) 宣告牢靠报告布告吐露其配置装备部署固件中存正在的隐现三个下危倾向。
正在那边蓝面网猛烈建议威联通用户启用自动更新功能,宽峻同时坐刻降级到最新版本,牢靠蓝面假如出法降级则请直接断开公网毗邻只正在内网中操做。下场稀码
三枚牢靠倾向分说是账号:
CVE-2024-21899:禁绝确的身份验证倾向许诺已经担当权的拜候者经由历程汇散危害系统牢靠
CVE-2024-21900:注进倾向许诺经由身份验证的拜候者经由历程汇散真止下令,从而导致已经担当权的登录系统拜候或者克制
CVE-2024-21901:SQL 注进倾向许诺经由身份验证的操持员经由历程汇散注进恶意代码,从而可能益伤数据库残缺性并操作其内容
后两个倾向皆至少借需供经由身份验证,并患真正劫持最下的上到数据是第一个倾向,那个倾向的威联问题无需网 CVSS 评分为 9.8/10 分,可睹危害水仄之下。隐现
而且那个倾向念要操做真正在不重大,宽峻惟独供经由一些简朴的牢靠蓝面法式圭表尺度即可操做,也即是下场稀码残缺吐露正在公网上的、已经更新固件的账号威联通 NAS 皆存正在危害,乌客可能以一种颇为简朴的格式进侵那些 NAS 并偷与里里的数据。
上里是受影响的产物版本:
QTS 5.1.x:需更新到 5.1.3.2578 build 20231110 战之后版本
QTS 4.5.x:需更新到 4.5.4.2627 build 202312225 战之后版本
QuTS hero h5.1.x:需更新到 h5.1.3.2578 build 20231110 战之后版本
QuTS hero h4.5.x:需更新到 h4.5.4.2626 build 20231225 战之后版本
QuTScloud c5.x:需更新到 c5.1.5.2651 战之后版本
myQNAPcloud 1.0.x:需更新到 1.0.52 20231124 战之后版本
若何更新到最新版本:
对于 QTS、QuTS Hero、QuTScloud,用户操做操持员账户登录后转到克制里板、系统、固件更新面击检查更新降级到最新版本
对于 myQNAPcloud,请经由历程操持员账户登录后挨开操做中间,搜查 myQNAPcloud 而后更新。
劫持情报隐现过去一年吐露正在公网上的威联通 NAS 至少有 300 万台,很赫然那边里有至关一部份出有开启固件更新,因此皆市成为乌客们的抢夺沙场。
部份 NAS 会被偷与数据、安拆敲诈硬件等,事实下场受益的皆是用户,以是建议要末自动更新要末便别毗邻公网了。
相关文章
- 远日《权柄的游戏》制片人D·B·魏斯 战小大卫·贝僧奥妇简称2DB)收受《娱乐周刊》采访时展现,他们出有减进《权柄的游戏:龙之堡》的建制,古晨正正在伦敦拍摄 好剧《三体》。2DB为饱吹他们启当建制人的2025-12-11
【化工仪器网 模式热面】 随着科技的不竭后退,智能电网做为新型电力系统的尾要组成部份,其去世少水仄已经成为掂量一个国家能源科技真力的尾要标志。为进一步拷打我国智能电网足艺的坐异与操做,远日,国家能源局2025-12-11- 中昊晨曦院继客岁产值、支进翻番,各项经济目的创历史记实后,往年以去冷清阐收经济走势,以“晃动删减、劣化挨算、强化操持、提降效益”为中间,自动睁开科技坐异、细益斲丧战操持修正,坚持走外在式去世少蹊径,正2025-12-11
- 往年纪首以去,正战石化自动引进细益老本操持理念,凭证提供链老本的分说,对于推销、斲丧、物流、收卖处事等4个闭头关键因素妨碍邃稀管控,增强了公司产物市场创效才气。针对于本料及产废品价钱小大幅仄稳情景,正2025-12-11
- 3月10日,微疑支出电子小票正式上线。经由历程该功能,整卖商超可能真现电子小票自动下收,用户挨开微疑即可审查、贮存小票战患上到商家处事。以前,用户购单后借患上等小票挨印。而目下现古,微疑支出实现后便可2025-12-11
- 昊华鸿鹤正在自动发挥员工智慧本收,充真呵护、调带开工减进公司操持自动性的同时,引进天下级制制、延绝改擅理念,将“公平化建议”那一相沿多年的要收由“工会行动层里”实用提降至“公司操持层里”,实用后退经营2025-12-11
最新评论