关键词
漏洞
高危模块分布:
▸操作系统层:
- QTS(CVE-2025-62847/62848/62849)
- QuTS hero(同QTS系列CVE)
▸备份工具:HBS 3(CVE-2025-62840/62842)
▸安全组件:
- Hyper Data Protector(CVE-2025-59389)
- Malware Remover(CVE-2025-11837)
⚡攻击路径:
Exploit链示例:
SQL注入→绕过身份验证→RCE远程代码执行
二次补丁风险预警
QuMagie 2.7.0新漏洞(CVE-2025-52425):
▸危害等级:CVSS 9.8(临界)
▸攻击场景:通过照片共享功能植入恶意EXIF数据触发SQL注入
▸修复版本:QuMagie ≥2.7.0
⚙️修复版本速查表
组件
最低安全版本
QTS
5.2.7.3297 (20251024)
QuTS hero
h5.2.7.3297 / h5.3.1.3292
Hyper Data Protector
2.2.4.1
Malware Remover
6.6.8.20251023
HBS 3
26.2.0.938
三步更新指南
1️⃣系统固件升级:
控制台路径:控制面板 > 系统 > 固件更新 > 「检查更新」
2️⃣应用补丁部署:
▸ 打开「应用中心」 → 搜索漏洞组件名称 → 点击「更新」
▸强制重启:更新后需重启NAS服务(非整机重启)
3️⃣密码策略重置:
▸ 禁用默认admin账户 → 创建新管理员
▸ 启用「密码错误锁定」(阈值≤5次)
历史漏洞回溯
Pwn2Own Ireland 2024案例:
▸CVE-2024-50388:混合备份模块命令注入(已修复)
▸CVE-2024-50387:SMB服务SQL注入(已修复)
关联风险:未升级设备仍可被历史漏洞利用工具集攻击
⚠️企业级防护建议
1️⃣网络隔离:
- 禁止将QNAP NAS映射至公网(SSH/HTTPS端口限制)
- 启用VPN访问(仅限内网穿透)
2️⃣日志监控:
- 重点审计/var/log/httperr.log中的SQL语法异常
- 部署EDR类工具监测/usr/local/bin目录可疑进程
3️⃣供应链管理:
- 第三方插件需通过QTS官方签名验证
- 禁用「匿名错误报告」功能(防元数据泄露)
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴