QNAP修复了关键的SQL注入零日漏洞

重点摘要

• QNAP发布了针对影响其SMB服务的关键SQL注入零日漏洞（CVE-2024-50387）的修复补丁。
• 该漏洞是在上周的Pwn2Own爱尔兰黑客竞赛中被网络安全研究员YingMuo发现并利用的。
• 该补丁在修复了另一个零日漏洞后不久发布，该漏洞影响HBS 3混合备份同步解决方案。
• 因为QNAP设备一直是网络攻击者的主要目标，强烈建议尽快实施这些补丁。

根据，QNAP针对影响其SMB服务的关键SQL注入零日漏洞（CVE-2024-50387）发布了修复补丁。这一漏洞是网络安全研究员YingMuo在上周的Pwn2Own爱尔兰黑客竞赛中发现并恶意利用的。

QNAP的SQL注入漏洞补丁是在其修复另一个影响HBS3混合备份同步灾难恢复与数据备份解决方案的零日漏洞后不久发布的。该漏洞是由Viettel网络安全团队在竞赛中发现，并借此攻击了一台TS-464网络附加存储设备。由于QNAP设备依旧受到网络攻击者的高度关注，因此建议用户立即实施修复补丁。组织可通过以管理员身份登录QuTShero或QTS，并在“SMB服务”中点击“更新”来应用这些补丁。

在过去四年中，QNAP曾报告了针对其NAS设备的eCh0raix、DeadBolt、Checkmate和AgeLocker等勒索软件攻击。

漏洞类型 | CVE编号 | 影响设备 | 修复状态
—|—|—|—
SQL注入 | CVE-2024-50387 | QNAP SMB服务 | 已发布修复补丁
其他零日漏洞 | 待确认 | HBS 3 | 已发布修复补丁

对于用户而言，确保NAS设备的安全性至关重要。保持软件更新和及时修补漏洞将大幅降低遭受网络攻击的风险。