QNAP 修复 NAS 备份应用中的严重漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

该漏洞是一个访问控制不当漏洞 (CVE-2021-28809)，由 TXONE IoT/ICS 安全研究实验室的研究员 Ta-Lun Yen 在 QNAP 的灾难恢复和数据备份解决方案 HBS 3 Hybrid Backup Sync 中找到的。

该漏洞是由具有 bug 的软件引发的，该软件未正确地限制攻击者获得对系统资源的访问权限，从而导致它们提升权限、远程执行命令或在未授权情况下读取敏感信息。

QNAP 表示，该漏洞已在如下 HBS 版本中修复并建议客户将如下应用更新至最新发布的版本：

然而，虽然 QNAP 公司发布安全公告称 CVE-2021-28809 已修复，但自2021年5月14日其，该app的发布备注中并未列出任何安全更新。

QNAP 公司指出，运行 HBS 3 v16.x 的QTS 4.5.x 的 QNAP NAS 设备并不受影响且并未暴露到攻击中。

4月份，QNAP 公司还修复了位于 HBS 3 Hybrid Backup Sync 备份和灾难恢复 app 中的另外一个严重漏洞。

它是一个后门账户缺陷，最初被该公司描述为“硬编码凭证”，之后被描述为“授权不当”。该后门账户可导致 Qlocker 勒索软件操纵人员加密暴露在互联网的 NAS 设备。

至少从4月19日开始，Qlocker 开始大规模攻击 QNAP 设备，部署勒索软件 payload并删除了受害者受密码保护的 7zip 文档文件并要求支付勒索金。

该勒索团伙要求支付0.01个比特币（当时值500美元），在仅仅5天内就牟利26万美元。就在同一个月，QNAP 督促客户保护 NAS 设备安全，避免数据遭Agelocker 勒索攻击以及两周后督促避免遭 eChoraix 勒索攻击。