臺灣供應商 QNAP 解決了一個嚴重的漏洞，編號為 CVE-2021-28809，可被利用來破壞易受攻擊的 NAS 設備

臺灣供應商 QNAP 修復了一個關鍵漏洞，跟蹤為CVE-2021-28809，攻擊者可以利用該漏洞來破壞易受攻擊的 NAS 設備。

該漏洞影響了HBS 3 Hybrid Backup Sync 的某些舊版本，TXOne IoT/ICS 安全研究實驗室的 Ta-Lun Yen 向供應商報告了該漏洞。

“據報道，一個不正確的訪問控制漏洞會影響 HBS 3（混合備份同步）的某些舊版本。如果被利用，此漏洞將允許攻擊者破壞操作系統的安全性。” 聲明了該公司發布的安全公告。

供應商解決了以下 HBS 3 版本中的缺陷：

• QTS 4.3.6：HBS 3 v3.0.210507 及更高版本
• QTS 4.3.4：HBS 3 v3.0.210506 及更高版本
• QTS 4.3.3：HBS 3 v3.0.210506 及更高版本

運行 QTS 4.5.x 和 HBS 3 v16.x 的 QNAP 設備不受影響。

今年 5 月，這家臺灣供應商警告其客戶更新在其網絡附加存儲 (NAS) 設備上運行的 HBS 3 災難恢復應用程序，以防止 Qlocker 勒索軟件 感染。

4 月底，專家警告稱，一種名為 Qlocker 的新型勒索軟件每天都在感染數百臺 QNAP NAS 設備。

攻擊背后的威脅參與者正在利用不正確的授權漏洞，跟蹤為 CVE-2021-28799，這可能允許他們登錄到 NAS 設備

“針對 QNAP NAS 的勒索軟件活動于 2021 年 4 月 19 日那一周開始。名為 Qlocker 的勒索軟件利用 CVE-2021-28799 攻擊運行特定版本的 HBS 3（混合備份同步）的 QNAP NAS。” 閱讀 供應商發布的 安全公告。

根據勒索軟件識別服務ID-Ransomware的創建者 邁克爾·吉萊斯皮( Michael Gillespie)提供的統計數據，這些攻擊于 4 月 20 日首次被發現，感染數量已飆升至每天數百起 。

今年 5 月，QNAP 還 警告 客戶注意那些使用eCh0raix 勒索軟件攻擊其網絡附加存儲 (NAS) 設備 并利用 Roon Server 零日漏洞的攻擊者。

5 月初，這家臺灣供應商 警告 其客戶

上周，QNAP 警告 客戶，威脅攻擊者正在利用eCh0raix 勒索軟件 攻擊其網絡附加存儲 (NAS) 設備 并利用 Roon Server 零日漏洞。

本月初，這家臺灣供應商 警告 其客戶，他們的 NAS 設備受到持續不斷的 AgeLocker 勒索軟件攻擊。