CVE-2021-28809

台灣網路儲存設備大廠 QNAP 日前發表資安通報，修復一個可能造成駭侵者提升權限、遠端執行任意程式碼的嚴重漏洞；QNAP NAS 用戶應立即依指示更新，以降低遭駭風險。

台灣網路儲存設備（Network Attached Storage, NAS）大廠威聯通（QNAP），日前發表最新資安通報，修復一個可能造成駭侵者提升權限、遠端執行任意程式碼的嚴重漏洞；QNAP NAS 用戶應立即依照資安通報内的指示更新系統軟體，以降低遭到駭侵攻擊的風險。

得到修復的嚴重漏洞，其 CVE 編號為 CVE-2021-28809，屬於存取控制不當漏洞，存於 QNAP NAS 内建的資料備份暨還原應用程式 HBS 3 Hybrid Backup Sync 之中。

該漏洞的危險程度分級為最高等級的「嚴重」（Critical），其發生主因是由於程式内的錯誤，造成 NAS 系統無法有效阻擋駭侵者取得系統資源；駭侵者可藉由這個漏洞，提升自身執行權限，遠端執行任意程式碼，或是在未經管理者授權的情形下，任意讀取系統内儲存的各種資料。

QNAP 雖然在日前才發布資安通報，但又表示下列版本的 QNAP NAS 作業系統 QTS 中的 HBS 3 早已完成修復；這些 QTS 和對應的 HBS 3 版本如下：

• QTS 4.3.6: HBS 3 v3.0.210507 與其後版本
• QTS 4.3.4: HBS 3 v3.0.210506 與其後版本
• QTS 4.3.3: HBS 3 v3.0.210506 與其後版本

另外 QNAP 也表示，執行 QTS 4.5.x 與 HBS 3 V16.x 版本的用戶，其軟體不存有此漏洞，因此不必擔心駭侵者透過此漏洞發動攻擊。

QTS 4.3.6: HBS 3 v3.0.210507 之前版本。QTS 4.3.4: HBS 3 v3.0.210506 之前版本。QTS 4.3.3: HBS 3 v3.0.210506 之前版本。

升級至下列版本：
QTS 4.3.6: HBS 3 v3.0.210507 與其後版本
QTS 4.3.4: HBS 3 v3.0.210506 與其後版本
QTS 4.3.3: HBS 3 v3.0.210506 與其後版本