|
2024 年 3 月 9 日,威聯(lián)問題無需網(wǎng)絡(luò)附加存儲設(shè)備 (NAS) 制造商威聯(lián)通 (QNAP) 發(fā)布安全公告透露其設(shè)備固件中存在的出現(xiàn)三個高危漏洞。 在這里藍(lán)點網(wǎng)強烈建議威聯(lián)通用戶啟用自動更新功能,嚴(yán)重北京朝陽外圍大圈預(yù)約聯(lián)系方式vx《1662-044-1662》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)同時立即升級到最新版本,安全如果無法升級則請直接斷開公網(wǎng)連接只在內(nèi)網(wǎng)中使用。賬號
三枚安全漏洞分別是密碼: CVE-2024-21899:不正確的身份驗證漏洞允許未經(jīng)授權(quán)的訪問者通過網(wǎng)絡(luò)危害系統(tǒng)安全 CVE-2024-21900:注入漏洞允許經(jīng)過身份驗證的訪問者通過網(wǎng)絡(luò)執(zhí)行命令,從而導(dǎo)致未經(jīng)授權(quán)的即可據(jù)藍(lán)系統(tǒng)訪問或控制 CVE-2024-21901:SQL 注入漏洞允許經(jīng)過身份驗證的管理員通過網(wǎng)絡(luò)注入惡意代碼,從而可能損害數(shù)據(jù)庫完整性并操縱其內(nèi)容 后兩個漏洞都至少還需要經(jīng)過身份驗證,登錄點網(wǎng)真正威脅最高的并獲北京朝陽外圍大圈預(yù)約聯(lián)系方式vx《1662-044-1662》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)是第一個漏洞,這個漏洞的取數(shù) CVSS 評分為 9.8/10 分,可見危害程度之高。威聯(lián)問題無需 而且這個漏洞想要利用并不復(fù)雜,出現(xiàn)只需要經(jīng)過一些簡單的嚴(yán)重步驟即可利用,也就是安全所有暴露在公網(wǎng)上的、未更新固件的賬號威聯(lián)通 NAS 都存在風(fēng)險,黑客可以以一種非常簡單的方式入侵這些 NAS 并竊取里面的數(shù)據(jù)。 下面是受影響的產(chǎn)品版本: QTS 5.1.x:需更新到 5.1.3.2578 build 20231110 和之后版本 QTS 4.5.x:需更新到 4.5.4.2627 build 202312225 和之后版本 QuTS hero h5.1.x:需更新到 h5.1.3.2578 build 20231110 和之后版本 QuTS hero h4.5.x:需更新到 h4.5.4.2626 build 20231225 和之后版本 QuTScloud c5.x:需更新到 c5.1.5.2651 和之后版本 myQNAPcloud 1.0.x:需更新到 1.0.52 20231124 和之后版本 如何更新到最新版本: 對于 QTS、QuTS Hero、QuTScloud,用戶使用管理員賬戶登錄后轉(zhuǎn)到控制面板、系統(tǒng)、固件更新點擊檢查更新升級到最新版本 對于 myQNAPcloud,請通過管理員賬戶登錄后打開應(yīng)用中心,搜索 myQNAPcloud 然后更新。 威脅情報顯示過去一年暴露在公網(wǎng)上的威聯(lián)通 NAS 至少有 300 萬臺,很顯然這里面有相當(dāng)一部分沒有開啟固件更新,因此都會成為黑客們的爭奪戰(zhàn)場。 部分 NAS 會被竊取數(shù)據(jù)、安裝勒索軟件等,最終受害的都是用戶,所以建議要么自動更新要么就別連接公網(wǎng)了。 |
