2021-04-23
QNAP NAS Backup 再被發現後門帳戶
黑客可遠端登錄 QNAP NAS 取得控制權
文: KK Wong / 新聞中心

QNAP 繼 Qlocker 攻撃後再被爆安全漏洞,IT 安全新聞網站 Bleeping Computer 23 日導報,台灣資安公司 ZUSO 發現 QNAP NAS 中存在後門帳戶,影響到所有正在運行 HBS 3 Hybrid Backup Sync 服務的裝置,黑客可以借助此漏洞登錄 QNAP NAS 並取得控制,此漏洞被評為 Critical 嚴重,建議用家立即修復此漏洞。

 

HBS 3 Hybrid Backup Sync 服務是用作災難恢復和數據備份用途,備份檔案至本地端 NAS、外接裝置 (USB 一鍵啟動備份功能)、遠端伺服器或雲端儲存空間中,確保重要資料妥善保存,更可讓您便利追蹤修改紀錄。

 

 

受影響的 HBS 3 Hybird Backup Sync 版本包括︰

 

♦ QTS 4.5.2:HBS 3 Hybrid Backup Sync 16.0.0415 及更高版本

♦ QTS 4.3.6:HBS 3混合備份同步3.0.210412 及更高版本

♦ QuTS hero h4.5.1:HBS 3 Hybrid Backup Sync 16.0.0419 及更高版本

♦ QuTS cloud c4.5.1〜c4.5.4:HBS 3 Hybrid Backup Sync 16.0.0419 及更高版本

 

 

QNAP 表示已得悉相關安全漏洞,已發佈了 HBS 3 Hybrid Backup Sync 最新版本修復此漏洞,用家請以管理員身份立即登錄 QTS 或 QuTS hero,應用程序中心點撃更新。

 

 

Bleeping Computer 報道︰

https://www.bleepingcomputer.com/news/security/qnap-removes-backdoor-account-in-nas-backup-disaster-recovery-app/

 

QNAP 關於 HBS 3 Hybrid Backup Sync 不當授權漏洞:

https://www.qnap.com/zh-tw/security-advisory/qsa-21-13

 

 

QNAP Vulnerabilities

發表評論