QNAP 延长对某些不受支持NAS设备的关键更新
编译:代码卫士
QNAP 将为客户提供升级服务并保护客户数据不受“不断演进的安全威胁”侵扰,“EOL机型可能缺少计算能力、运营内存不足、无法接受最新的组件驱动、或具有其它技术限制或过时技术。鉴于此,QNAP 通常会在产品EOL日期后四年维护安全更新,帮助客户设备免受安全威胁,QNAP 已将某些EOL机型的安全更新延长至2022年10月。”
QNAP 公司指出,虽然支持日期已延长至2022年10月,但这些EOL设备将只会接收到解决高危和严重漏洞的安全更新。这些设备是:
CPU架构 | 该机型的最后支持的NAS OS 版本 | 延期日期 |
x86 64-bit 机型或 ARM 机型,支持右栏所列的其中一种 NAS OS 版本 | QTS 4.2.6 | 2022年10月前有效 |
不要将 NAS 暴露到互联网
QNAP 公司还指出,客户不应将 EOL NAS 设备暴露到互联网,以确保攻击者不会利用针对未修复漏洞的 exploit 实施攻击。这一提醒类似于1月初 Qlocker 和 DeadBolt 勒索软件攻击开始攻击暴露到互联网的设备的提醒。
客户收到提醒称,如果客户设备暴露到互联网且系统管理员服务可从外部IP地址直接访问,则存在遭攻击的高风险。
QNAP 公司表示可采取如下措施防御攻击:
禁用路由器的端口转发功能:检查路由器管理界面的 Virtual Server、NAT 或 Port Forwarding(“端口转发”)设置,并禁用NAS管理服务端口(默认端口8080和433)的端口转发设置。
禁用 QNAP NAS 的 UPnP 功能:在QTS目录的 myQNAPcloud 点击“自动路由器配置”,取消勾选“启用UPnP 端口转发”选项。
QNAP 公司督促客户按照该公司发布的“增强 NAS 设备安全”建议,拦截恶意软件或其它类型攻击。
QNAP 提醒客户注意 eCh0raix 勒索攻击和 Room Server 0day
RCE 0day影响数万台QNAP SOHO NAS 设备
QNAP 警告:NAS 设备正遭受暴力攻击
https://www.bleepingcomputer.com/news/security/qnap-extends-critical-updates-for-some-unsupported-nas-devices/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。