研究人員揭露威聯通NAS作業系統漏洞,並指出15個漏洞僅有4個完成修補
· 2024-05-22

資安業者watchTowr去年底開始向NAS廠商威聯通(QNAP)通報資安漏洞,數量多達15個,但該公司僅針對其中一小部分做出修補,他們在上週揭露此事。對此,威聯通發布公告說明他們處理的情形

該漏洞出現在QTS的No_Support_ACL功能函數當中,其中一個名為strcpy子功能不安全使用所致。攻擊者可發出偽造的惡意請求,而有機會導致NAS設備出現記憶體緩衝區溢位的情況,最終達到遠端執行任意程式碼的目的。

而前述的先決條件,就是攻擊者必須取得使用者共用檔案時產生的「ssid」參數,而這樣的資料,基本上攻擊者可透過社交工程攻擊取得,但研究人員指出,他們也發現許多用戶公開檔案共用連結,並能透過Google找到,從而能進一步挖掘這種參數。

針對watchTowr所公布的消息,5月21日威聯通也發布公告說明。

該公司表示,他們在獲報的15個漏洞當中,對於已經完成確認的漏洞登記了CVE編號,並指出5個他們完成確認的漏洞,皆於同日發布的QTS 5.1.7及QuTS hero h5.1.7版進行修補。這些漏洞是:CVE-2024-21902、CVE-2024-27127、CVE-2024-27128、CVE-2024-27129、CVE-2024-27130,CVSS風險評分介於6.4至7.2分。

而對於其他漏洞,威聯通也在此公告透露處理的情形,承諾後續將著手處理CVE-2024-27131,以及另一個已登記CVE編號的漏洞,並坦承尚有3項漏洞正在向研究人員確認。

至於研究人員公布概念性驗證的CVE-2024-27130,威聯通也對其補充說明,他們在QTS啟用了位址空間布局隨機化(Address Space Layout Randomization,ASLR)的防護措施,因此攻擊者實際想要利用這項漏洞的難度將會提高,儘管如此,他們還是呼籲用戶升級新版QTS、QuTS hero作業系統,來緩解這項漏洞。

而關於watchTowr認為威聯通修補漏洞速度太慢、多次延遲公布漏洞時間,威聯通也在新聞稿中明確提出承諾:「未來,對於被分類為高或關鍵嚴重性的弱點,我們承諾在45天內完成修復並發布修復程式。對於中等嚴重性的弱點,我們將在90天內完成修復並發布修復程式。」

热门文章
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
BETFAIR 网络攻击80万用户资料泄露
游戏风向
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
首页
游戏
合作
发现
我的