十一月 2024
 123
45678910
11121314151617
18192021222324
252627282930  

彙整

【漏洞預警】QNAP NAS設備存在安全漏洞(CVE-2020-2509、CVE-2020-36195、CVE-2021-28798及CVE-2021-28799),允許攻擊者建立任意檔案於特定路徑內,進而執行任意程式碼,請儘速確認並進行更新。

行政院國家資通安全會報技術服務中心

漏洞/資安訊息警訊

發布編號 NCCST-ANA-2021-0000142 發布時間 Tue Apr 27 15:52:05 CST 2021
事件類型 漏洞預警 發現時間 Tue Apr 27 00:00:00 CST 2021
警訊名稱 QNAP NAS設備存在安全漏洞(CVE-2020-2509、CVE-2020-36195、CVE-2021-28798及CVE-2021-28799),允許攻擊者建立任意檔案於特定路徑內,進而執行任意程式碼,請儘速確認並進行更新
內容說明 研究人員發現QNAP NAS設備使用之QTS、QuTS hero、Multimedia Console、Media Streaming Add-on及HBS 3 Hybrid Backup Sync等應用程式存在安全漏洞,遠端攻擊者可利用漏洞對目標設備建立任意檔案至特定路徑下,進而執行任意程式碼。
影響平台 受影響之QNAP設備如下

CVE-2020-2509:

所有QNAP設備

CVE-2020-36195:

啟用Multimedia Console與Media Streaming Add-on應用程式之QNAP設備

CVE-2021-28798:

TS-112P、TAS-168、TAS-268之QTS 4.3.3.1624 build 20210416以前版本

CVE-2021-28799:

啟用HBS 3 Hybrid Backup Sync應用程式之QNAP設備

影響等級
建議措施 目前QNAP官方已針對此漏洞釋出更新程式,請各機關聯絡設備維護廠商進行版本確認並將設備更新至以下版本:

QTS:

QTS 4.5.2.1566 Build 20210202(含)以後版本

QTS 4.5.1.1495 Build 20201123(含)以後版本

QTS 4.3.6.1620 Build 20210322(含)以後版本

QTS 4.3.4.1632 Build 20210324(含)以後版本

QTS 4.3.3.1624 Build 20210416(含)以後版本

QTS 4.2.6 Build 20210327(含)以後版本

QuTS hero:

QuTS hero h4.5.1.1491 build 20201119(含)以後版本

Media Streaming Add-on:

QTS 4.3.6: Media Streaming add-on 430.1.8.8(含)以後版本

QTS 4.3.3: Media Streaming add-on 430.1.8.10(含)以後版本

Multimedia Console:

QTS 4.4.x and later: Multimedia Console 1.3.4(含)以後版本

HBS 3 Hybrid Backup Sync:

QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415(含)以後版本

QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412(含)以後版本

QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419(含)以後版本

QuTScloud c4.5.1~c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419(含)以後版本

官方公告連結如下:

https://www.qnap.com/en/security-advisory/qsa-21-05

https://www.qnap.com/en/security-advisory/qsa-21-11

https://www.qnap.com/en/security-advisory/qsa-21-13

參考資料
  1. https://www.qnap.com/en/security-advisory/qsa-21-05
  2. https://www.qnap.com/en/security-advisory/qsa-21-11
  3. https://www.qnap.com/en/security-advisory/qsa-21-13
  4. https://www.ithome.com.tw/news/144004
  5. https://nvd.nist.gov/vuln/detail/CVE-2020-36195
  6. https://www.qnap.com/zh-tw/product_x_down/firmware_log.php
此類通告發送對象為通報應變網站登記之資安人員。若貴 單位之資安人員有變更,可逕自登入通報應變網站(https://www.ncert.nat.gov.tw)進行修改。若您仍為貴單位之資安人員但非本事件之處理人員,請協助將此通告告知相關處理人員。

如果您對此通告的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述聯絡資訊與我們連絡。
 址: 台北市富陽街116
聯絡電話: 02-27339922
傳真電話: 02-27331655
電子郵件信箱: service@nccst.nat.gov.tw

Comments are closed.