CVE-2021-28799

針對最近傳出全球勒贖災情的 Qlocker，QNAP 發表最新資安通報，確認該勒贖軟體係利用存於其 NAS 應用軟體 HBS 3 内含的資安漏洞 CVE-2021-28799。用戶應立即更新 NAS 中的 HBS 3 至最新版本。

針對最近傳出全球勒贖災情的 Qlocker，QNAP 發表最新資安通報，確認該勒贖軟體係利用存於其 NAS 應用軟體 HBS 3 内含的資安漏洞 CVE-2021-28799。

在 QNAP 於 5 月 21 日發表的最新資安通報 QSA-21-12 中，指出「在 2021 年 4 月 19 日當周開始針對 QNAP NAS 進行勒贖攻擊的 Qlocker，係利用 CVE-2021-28799 漏洞進行攻擊」。

這個編號為 CVE-2021-28799 的漏洞，根據資安專業媒體 BleepingComputer 報導指出，其漏洞發生的原因在於登入資訊的硬式編碼（hard-code），使得 Qlocker 可以利用這個漏洞直接登入系統，將用戶存在 QNAP NAS 中的檔案，直接以 7zip 公用程式壓縮並加上密碼，並且向用戶進行勒贖。

QNAP 在其陸續發布的資安通報中，並未提及登入資訊硬式編碼一事，但該公司提醒用戶，如果其 NAS 裝置的的 QTS 和 HBS 3 為下列版本之前的舊版本，應立即更新至最新版本，以免遭到 Qlocker 攻擊。

• QTS 4.5.2: HBS 3 v16.0.0415
• QTS 4.3.6: HBS 3 v3.0.210412
• QTS 4.3.3 and 4.3.4: HBS 3 v3.0.210411
• QuTS hero h4.5.1: HBS 3 v16.0.0419
• QuTScloud c4.5.1~c4.5.4: HBS 3 v16.0.0419

QTS 和 HBS 3 為下列版本之前的舊版本：1、QTS 4.5.2: HBS 3 v16.0.0415、2、QTS 4.3.6: HBS 3 v3.0.210412、3、QTS 4.3.3 and 4.3.4: HBS 3 v3.0.210411、4、QuTS hero h4.5.1: HBS 3 v16.0.0419、5、QuTScloud c4.5.1~c4.5.4: HBS 3 v16.0.0419

更新至上述版本與後續版本