QNAP 已迅速采取行动,解决其 QuRouter 网络安全设备中的一个关键零日漏洞,该漏洞在最近于爱尔兰举行的 Pwn2Own 黑客大赛中被安全研究人员利用。
该漏洞被追踪为 CVE-2024-50389,Viettel 网络安全团队利用该漏洞入侵了一台 QuRouter 设备,并赢得了比赛期间颁发的 100 多万美元奖金中的一部分。
QNAP 立即为受影响的 QuRouter 2.4.x 版本发布了补丁,敦促用户立即升级到 2.4.5.032 或更高版本。该公司感谢 Viettel Cyber Security 负责任地披露了该漏洞。
继上周 QNAP 修补了另外两个零日漏洞之后,Viettel Cyber Security 在 Pwn2Own 期间也发现了这一漏洞:
- CVE-2024-50388: HBS 3 混合备份同步解决方案中的漏洞,允许攻击者在 TS-464 NAS 设备上执行任意命令。
- CVE-2024-50387: QNAP 的 SMB 服务中存在严重的 SQL 注入漏洞。
QNAP 对这些漏洞的快速反应值得称赞,特别是与供应商在公开发布 Pwn2Own 漏洞细节之前通常需要 90 天的时间形成鲜明对比。
更新您的 QuRouter 对于降低 CVE-2024-50389 带来的风险至关重要。QNAP 已提供更新至最新固件版本的明确说明:
- 登录您的 QuRouter。
- 转到固件。
- 选择立即更新。
- 选择最新版本。
- 单击 “应用 ”并确认。
然后,QuRouter 将下载并安装必要的更新。或者,用户也可以从 QNAP 下载中心手动下载最新固件,然后通过 QuRouter 界面进行应用。