QNAP修复可导致攻击者接管设备的超危漏洞 – 作者:偶然路过的围观群众

QNAP修复了Helpdesk应用中的两个超危安全漏洞,攻击者可利用漏洞接管未修复的QNAP网络附属存储(NAS)设备。

Helpdesk是QNAP NAS设备的内置应用,允许管理员通过互联网向QNAP支持团队发送帮助请求。

该应用还具有远程支持功能,使用所有者的权限可远程连接设备。

NAS接管风险

QNAP修复的两个Helpdesk安全漏洞编号为CVE-2020-2506和CVE-2020-2507。

它们都是访问控制错误漏洞,如成功利用漏洞,攻击者可控制QNAP设备。

QNAP表示,已在Helpdesk 3.0.3及之后版本中修复了这些安全漏洞,鉴于漏洞的严重评级,客户应尽快更新该应用至最新的可用版本。

要更新版本,QNAP客户须以管理员身份登录NAS设备,使用APP Center查看Helpdesk更新。

图片[1]-QNAP修复可导致攻击者接管设备的超危漏洞 – 作者:偶然路过的围观群众-安全小百科Helpdesk应用(QNAP)

在NAS设备上更新Helpdesk步骤如下:

  • 以管理员身份登录QTS;
  • 打开App Center,点击搜索。出现一个搜索框。
  • 输入“Helpdesk”,按Enter键。在搜索结果中出现Helpdesk应用程序。
  • 点击Update。出现一条确认信息。注意:如果你使用的是最新版本,则Update按钮不可用。
  • 点击OK,更新应用程序。

针对QNAP NAS设备的攻击

QNAP最近发布了另一则安全公告,就最近对公开暴露的NAS存储设备上的文件进行加密的勒索软件攻击的激增发出警告。

这些攻击背后的AgeLocker勒索软件正把目标对准旧的未修复的Photo Station版本。Photo Station是一款允许用户远程将照片上传至NAS,创建相册和查看照片的应用。

QNAP之前就eChoraix勒索软件攻击发出警告,该类攻击自2020年6月开始就针对Photo Station应用中的漏洞。

为了避免NAS设备遭到入侵,QNAP建议更新QNAP设备上的所有应用和安装最新的QTS更新,同时不要将QTS管理页面或QTS应用暴露在互联网上。

—————————————————————————————————————-

来源Bleeping Computer;转载请注明出处。

来源:freebuf.com 2020-10-09 15:41:59 by: 偶然路过的围观群众

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论