威联通(QNAP)NAS出现严重安全问题 无需账号密码即可登录并获取数据 – 蓝点网 - {$web_name} 另外马上升级到新近版次

2024 年 3 月 9 日，联网附加存储设备 (NAS) 制造商威联通 (QNAP) 亮相可靠公告透露其设备固件中存在的三个高危漏洞。

在这里蓝点网强烈提议威联通使用者启动自动升级特性，另外马上升级到新近版次，假如无法升级则请直接断开公网连接只在内网中使用。热门华晨宇一览

三枚可靠漏洞分别是近日今日活动出席，总有一句适合你：

CVE-2024-21899：不正确的身份测试漏洞允许未经授权的访问者经由联网危害操控系统可靠

CVE-2024-21900：注入漏洞允许经过身份测试的访问者经由联网执行命令，从而导致未经授权的操控系统访问或控制

CVE-2024-21901：SQL 注入漏洞允许经过身份测试的治理员经由联网注入恶意代码，从而或许损害资料库完整性并操纵其信息

后两个漏洞都至少还需要经过身份测试，真正威胁最高的是第一个漏洞，这个漏洞的 CVSS 评分为 9.8/10 分，可见危害程度之高。

并且这个漏洞想要运用并不繁琐，只需要经过一些简易的聚焦复出消息对比步骤即可运用，也就是所有暴露在公网上的、未升级固件的威联通 NAS 都存在隐患，黑客可以以一种相当简易的方式入侵这些 NAS 并窃取里面的资料。

下面是独家豆瓣评分汇总受作用的商品版次：

QTS 5.1.x：需升级到 5.1.3.2578 build 20231110 和之后版次

QTS 4.5.x：需升级到 4.5.4.2627 build 202312225 和之后版次

QuTS hero h5.1.x：需升级到 h5.1.3.2578 build 20231110 和之后版次

QuTS hero h4.5.x：需升级到 h4.5.4.2626 build 20231225 和之后版次

QuTScloud c5.x：需升级到 c5.1.5.2651 和之后版次

myQNAPcloud 1.0.x：需升级到 1.0.52 20231124 和之后版次

如何升级到新近版次：

针对 QTS、QuTS Hero、QuTScloud，使用者使用治理员账户登陆后转到控制面板、操控系统、固件升级访问检查升级升级到新近版次

针对 myQNAPcloud，请经由治理员账户登陆后开启使用中心，检索 myQNAPcloud 然后升级。

威胁情报显示过去一年暴露在公网上的威联通 NAS 至少有 300 万台，很显然这里面有相当一若干没有开启固件升级，所以都会变成黑客们的争夺战场。

若干 NAS 会被窃取资料、部署勒索使用等，最后受害的都是使用者，所以提议要么自动升级要么就别连接公网了。