• 發布單位:TWCERT/CC
• 更新日期:2020-10-28
• 點閱次數:3505

台灣 NAS 大廠 QNAP 日前針對 Zerologon 嚴重資安漏洞發布資安警訊，並公布受影響的 NAS 作業系統版本號碼，用戶需立即更新以修補漏洞。

全球知名的台灣網路儲存設備（NAS） 大廠 QNAP，日前針對 Zerologon 嚴重資安漏洞發布資安警訊；並公布受影響的 NAS 作業系統版本號碼；建議相關用戶更新到最新的 QTS NAS 作業系統，以修補漏洞。

QNAP說明，若用戶之 NAS不是部署為 Active Directory 的 domain controller ，不受 Zerologon 漏洞影響。因此非相關之用戶在固定排程時更新即可，不需受時間壓力安排緊急更新。

在 QNAP 發表的資安通報中指出，微軟在本月初公布的 Zerologon（CVE-2020-1472）嚴重資安漏洞，也出現在該公司部分 NAS 機種使用的 QTS 作業系統中連接微軟網路的子系統；若不立即修補該漏洞，可能導致駭侵者用以跳過系統資安驗證程多，提升自身執行權限，遠端執行任意程式碼，並且挾持 QNAP NAS 本體並攻擊內部網路中的其他設備。

據 QNAP 發表的資安通報指出，建議相關用戶應升級到以下 QTS 版本：

• QTS 4.5.1.1456 build 20201015 與更新版本
• QTS 4.4.3.1439 build 20200925 與更新版本
• QTS 4.3.6.1446 Build 20200929 與更新版本
• QTS 4.3.4.1463 build 20201006 與更新版本
• QTS 4.3.3.1432 build 20201006 與更新版本

擁有 QNAP NAS 設備的用戶，應立即檢查 QTS 版本並升級至最新版，以降低遭駭侵攻的的風險。