威联通(QNAP)NAS出现严重安全问题 无需账号密码即可登录并获取数据 – 蓝点网

2024 年 3 月 9 日，威联问题无需网络附加存储设备 (NAS) 制造商威联通 (QNAP) 发布安全公告透露其设备固件中存在的出现三个高危漏洞。

在这里蓝点网强烈建议威联通用户启用自动更新功能，严重同时立即升级到最新版本，安全如果无法升级则请直接断开公网连接只在内网中使用。账号

三枚安全漏洞分别是密码：

CVE-2024-21899：不正确的身份验证漏洞允许未经授权的访问者通过网络危害系统安全

CVE-2024-21900：注入漏洞允许经过身份验证的访问者通过网络执行命令，从而导致未经授权的即可据蓝系统访问或控制

CVE-2024-21901：SQL 注入漏洞允许经过身份验证的管理员通过网络注入恶意代码，从而可能损害数据库完整性并操纵其内容

后两个漏洞都至少还需要经过身份验证，登录点网真正威胁最高的并获是第一个漏洞，这个漏洞的取数 CVSS 评分为 9.8/10 分，可见危害程度之高。威联问题无需

而且这个漏洞想要利用并不复杂，出现只需要经过一些简单的严重步骤即可利用，也就是安全所有暴露在公网上的、未更新固件的账号威联通 NAS 都存在风险，黑客可以以一种非常简单的方式入侵这些 NAS 并窃取里面的数据。

下面是受影响的产品版本：

QTS 5.1.x：需更新到 5.1.3.2578 build 20231110 和之后版本

QTS 4.5.x：需更新到 4.5.4.2627 build 202312225 和之后版本

QuTS hero h5.1.x：需更新到 h5.1.3.2578 build 20231110 和之后版本

QuTS hero h4.5.x：需更新到 h4.5.4.2626 build 20231225 和之后版本

QuTScloud c5.x：需更新到 c5.1.5.2651 和之后版本

myQNAPcloud 1.0.x：需更新到 1.0.52 20231124 和之后版本

如何更新到最新版本：

对于 QTS、QuTS Hero、QuTScloud，用户使用管理员账户登录后转到控制面板、系统、固件更新点击检查更新升级到最新版本

对于 myQNAPcloud，请通过管理员账户登录后打开应用中心，搜索 myQNAPcloud 然后更新。

威胁情报显示过去一年暴露在公网上的威联通 NAS 至少有 300 万台，很显然这里面有相当一部分没有开启固件更新，因此都会成为黑客们的争夺战场。

部分 NAS 会被窃取数据、安装勒索软件等，最终受害的都是用户，所以建议要么自动更新要么就别连接公网了。

本文地址：http://i.lyuk.aomhyr.cn/html/06e086099133.html