2024 年 3 月 9 日，威聯(lián)問題無需網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備 (NAS) 制造商威聯(lián)通 (QNAP) 發(fā)布安全公告透露其設(shè)備固件中存在的出現(xiàn)三個(gè)高危漏洞。

在這里藍(lán)點(diǎn)網(wǎng)強(qiáng)烈建議威聯(lián)通用戶啟用自動(dòng)更新功能，嚴(yán)重北京朝陽外圍大圈預(yù)約聯(lián)系方式vx《1662-044-1662》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)同時(shí)立即升級(jí)到最新版本，安全如果無法升級(jí)則請(qǐng)直接斷開公網(wǎng)連接只在內(nèi)網(wǎng)中使用。賬號(hào)

三枚安全漏洞分別是密碼：

CVE-2024-21899：不正確的身份驗(yàn)證漏洞允許未經(jīng)授權(quán)的訪問者通過網(wǎng)絡(luò)危害系統(tǒng)安全

CVE-2024-21900：注入漏洞允許經(jīng)過身份驗(yàn)證的訪問者通過網(wǎng)絡(luò)執(zhí)行命令，從而導(dǎo)致未經(jīng)授權(quán)的即可據(jù)藍(lán)系統(tǒng)訪問或控制

CVE-2024-21901：SQL 注入漏洞允許經(jīng)過身份驗(yàn)證的管理員通過網(wǎng)絡(luò)注入惡意代碼，從而可能損害數(shù)據(jù)庫完整性并操縱其內(nèi)容

后兩個(gè)漏洞都至少還需要經(jīng)過身份驗(yàn)證，登錄點(diǎn)網(wǎng)真正威脅最高的并獲北京朝陽外圍大圈預(yù)約聯(lián)系方式vx《1662-044-1662》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)是第一個(gè)漏洞，這個(gè)漏洞的取數(shù) CVSS 評(píng)分為 9.8/10 分，可見危害程度之高。威聯(lián)問題無需

而且這個(gè)漏洞想要利用并不復(fù)雜，出現(xiàn)只需要經(jīng)過一些簡(jiǎn)單的嚴(yán)重步驟即可利用，也就是安全所有暴露在公網(wǎng)上的、未更新固件的賬號(hào)威聯(lián)通 NAS 都存在風(fēng)險(xiǎn)，黑客可以以一種非常簡(jiǎn)單的方式入侵這些 NAS 并竊取里面的數(shù)據(jù)。

下面是受影響的產(chǎn)品版本：

QTS 5.1.x：需更新到 5.1.3.2578 build 20231110 和之后版本

QTS 4.5.x：需更新到 4.5.4.2627 build 202312225 和之后版本

QuTS hero h5.1.x：需更新到 h5.1.3.2578 build 20231110 和之后版本

QuTS hero h4.5.x：需更新到 h4.5.4.2626 build 20231225 和之后版本

QuTScloud c5.x：需更新到 c5.1.5.2651 和之后版本

myQNAPcloud 1.0.x：需更新到 1.0.52 20231124 和之后版本

如何更新到最新版本：

對(duì)于 QTS、QuTS Hero、QuTScloud，用戶使用管理員賬戶登錄后轉(zhuǎn)到控制面板、系統(tǒng)、固件更新點(diǎn)擊檢查更新升級(jí)到最新版本

對(duì)于 myQNAPcloud，請(qǐng)通過管理員賬戶登錄后打開應(yīng)用中心，搜索 myQNAPcloud 然后更新。

威脅情報(bào)顯示過去一年暴露在公網(wǎng)上的威聯(lián)通 NAS 至少有 300 萬臺(tái)，很顯然這里面有相當(dāng)一部分沒有開啟固件更新，因此都會(huì)成為黑客們的爭(zhēng)奪戰(zhàn)場(chǎng)。

部分 NAS 會(huì)被竊取數(shù)據(jù)、安裝勒索軟件等，最終受害的都是用戶，所以建議要么自動(dòng)更新要么就別連接公網(wǎng)了。