台灣 NAS 大廠 QNAP 修復多個資安漏洞,可能致使駭侵者遠端注入並執行各種惡意程式碼,藉以發動資安攻擊。

資料來源:TANet CERT台灣學術網路危機處理中心

https://www.twcert.org.tw/tw/cp-104-5238-4a61c-1.html

台灣網路儲存設備(Network Attached Storage, NAS) 大廠 QNAP(威聯通),日前發表資安更新修補,修復多個資安漏洞;這些漏洞可能致使駭侵者遠端注入並執行惡意程式碼,藉以發動各種資安攻擊。QNAP 各型 NAS 設備用戶,應立即更新受影響的軟體至最新版本,以套用更新。

在這批獲得修復的漏洞中,有三個屬於危險程度相當高的「跨網站指令碼」執行(Cross-site scripting, XSS)漏洞,其 CVE 編號分別為 CVE-2021-34354、CVE-2021-34356、CVE-2021-34355。這些漏洞存於版本號碼早於 5.4.10、5.7.13、6.0.18 等 Photo Station 應用軟體內,以及版本號碼早於 2.1.5 的 Image2PDF 應用軟體內。駭侵者可利用這些 XSS 漏洞,遠端注入惡意程式碼,永久儲存在受害用戶的 NAS 裝置內。

另外,QNAP 此次也針對某些已經停產且停止支援的舊款影像監控解決方案,修補一個可能致使駭侵者遠端執行惡意程式碼,甚至取得裝置控制權的嚴重漏洞;該漏洞的 CVE 編號為 CVE-2021-34352,發生在 QVR IP 影像監控裝置的韌體內。

QNAP 資安通報中提供了 QNAP NAS 設備用戶更新這些漏洞的指引;如果用戶裝置中安裝了 Photo Station 或 Image2PDF 應用程式,只要以 admin 登入裝置,開啟 App Center,接著搜尋 Photo Station 與 Image2PDF,再按下更新按鈕即可。

QNAP 也提供了 QVR 影像監控裝置的韌體更新指引,用戶先以 admin 帳號登入 QVR 控制介面,然後進入 Control Panel > System Settings > Firmware Update,先檢查是否有新版韌體,然後按下更新按鈕即可。

  • CVE編號:CVE-2021-34354、CVE-2021-34356、CVE-2021-34355、CVE-2021-34352 等
  • 影響產品(版本):Photo Station  5.4.10、5.7.13、6.0.18 之前版本、Image2PDF 2.1.5 之前版本
  • 解決方案:更新至最新版本

相關連結

  1. Resolved Stored XSS Vulnerabilities in Photo Station CVE-2021-34354 | CVE-2021-34356
  2. Resolved Stored XSS Vulnerability in Photo Station CVE-2021-34355
  3. Resolved Command Injection Vulnerabilities in QVR