继上周传出勒索软件可能利用PhotoStation软件漏洞入侵NAS设备后,Qnap本周再宣布修补另二个可让黑客接管NAS设备的重大风险漏洞。
这次修补的两个漏洞编号各为CVE-2020-2506及CVE-2020-2507,存在于Helpdesk软件中,起因于访问管控不当,可能让攻击者取得Qnap设备的控制权,两漏洞皆被列为重大(critical)漏洞。
至于漏洞细节,以及黑客可能的攻击行为Qnap并未公开。
受影响的产品为Helpdesk 3.0.3以前的版本。Qnap已经发布了修补完成的Helpdesk 3.0.3版。基于漏洞的风险,Qnap“强烈建议”用户尽快更新到最新版本。
这是Qnap二周来第二度对用户发出安全公告。上周警告勒索软件AgeLocker可能攻击早期版本的Photo Station线上相册应用程序,导致用户重要文件被加密,呼吁用户升级到新版QTS(4.4.1版)操作系统及Photo Station App。