QNAP修复可导致攻击者接管设备的超危漏洞 – 作者:偶然路过的围观群众

QNAP修复了Helpdesk应用中的两个超危安全漏洞，攻击者可利用漏洞接管未修复的QNAP网络附属存储（NAS）设备。

Helpdesk是QNAP NAS设备的内置应用，允许管理员通过互联网向QNAP支持团队发送帮助请求。

该应用还具有远程支持功能，使用所有者的权限可远程连接设备。

NAS接管风险

QNAP修复的两个Helpdesk安全漏洞编号为CVE-2020-2506和CVE-2020-2507。

它们都是访问控制错误漏洞，如成功利用漏洞，攻击者可控制QNAP设备。

QNAP表示，已在Helpdesk 3.0.3及之后版本中修复了这些安全漏洞，鉴于漏洞的严重评级，客户应尽快更新该应用至最新的可用版本。

要更新版本，QNAP客户须以管理员身份登录NAS设备，使用APP Center查看Helpdesk更新。

Helpdesk应用（QNAP）

在NAS设备上更新Helpdesk步骤如下：

• 以管理员身份登录QTS；
• 打开App Center，点击搜索。出现一个搜索框。
• 输入“Helpdesk”，按Enter键。在搜索结果中出现Helpdesk应用程序。
• 点击Update。出现一条确认信息。注意：如果你使用的是最新版本，则Update按钮不可用。
• 点击OK，更新应用程序。

针对QNAP NAS设备的攻击

QNAP最近发布了另一则安全公告，就最近对公开暴露的NAS存储设备上的文件进行加密的勒索软件攻击的激增发出警告。

这些攻击背后的AgeLocker勒索软件正把目标对准旧的未修复的Photo Station版本。Photo Station是一款允许用户远程将照片上传至NAS，创建相册和查看照片的应用。

QNAP之前就eChoraix勒索软件攻击发出警告，该类攻击自2020年6月开始就针对Photo Station应用中的漏洞。

为了避免NAS设备遭到入侵，QNAP建议更新QNAP设备上的所有应用和安装最新的QTS更新，同时不要将QTS管理页面或QTS应用暴露在互联网上。

—————————————————————————————————————-

来源Bleeping Computer；转载请注明出处。

来源：freebuf.com 2020-10-09 15:41:59 by: 偶然路过的围观群众