现阶段,广大中小企业(包括部分家庭用户)所拥有的各种计算终端设备越来越多,包括台式机电脑、笔记本电脑、智能手机和平板电脑等等,彼此之间进行数据共享、互访的需求越来越强。
解决这个问题最好的方式是采用NAS,NAS 是“Network Attached Storage”的缩写,中文译名为“网络附属存储”。
NAS是一种专门用于存储和共享数据的网络存储设备,用户可以方便地通过网络远程共享、访问存储在其中的文件和数据,非常方便。这些年各种NAS设备在市场上越来越畅销,越来越受欢迎。
但是,凡事有利就有弊,NAS有一个非常重要的短板,那就是它必须保持时刻联网在线,只有这样用户才能远程访问,这样一来,NAS就有可能会成为黑客的攻击目标。
NAS设备被黑客攻击的后果非常严重,因为NAS设备里面一般都存储着大量、敏感的数据,黑客可以窃取这些数据,或者强行把这些数据加密,向数据拥有者勒索赎金。
或者在NAS设备里面植入挖矿程序,源源不断的为黑客挖矿,中招后NAS设备的硬件资源使用率会一直处于基本耗尽的状态,直接表现是合法用户远程访问非常卡顿。
请注意:以上内容绝非危言耸听,这些年业界已经发生过多起真实案例。下面小编要分享的是知名NAS设备制造商威联通(QNAP)的消息,这已经不是小编第一次分享有关这家厂商产品翻车的消息了,请参阅上图。
近期,威联通公司NAS设备又发现了多个重要安全漏洞,主要包括CVE-2024-21899、CVE-2024-21900和CVE-2024-21901。
CVE-2024-21899涉及一个不正确的身份验证漏洞,该漏洞可允许恶意用户通过网络破坏NAS安全,严重程度为9.8分,属于“高危漏洞”,熟练的网络犯罪分子可以很容易地利用该漏洞。
CVE-2024-21900是一个注入漏洞,该漏洞可允许经过身份验证的用户通过网络执行命令。
CVE-2024-21901是一个SQL注入漏洞(熟悉数据库开发的朋友都应该很清楚),该漏洞可允许经过身份验证的管理员在myQNAPcloud 平台上注入恶意代码,CVE-2024-21900和CVE-2024-21901这两个安全漏洞的严重等级为“中等”。
具体而言,受以上安全漏洞影响的威联通NAS产品包括QTS 5.1.x、QTS 4.5.x、QuTS hero h5.1.x、QuTS hero h4.5.x、QuTScloud c5.x 和myQNAPcloud1.0.x等。
不过大家对于以上问题不用过于担心,因为威联通公司目前已经解决、修复了这些安全漏洞,并将安全公告标记为“已解决”。
近期威联通公司发布公告,敦促其广大NAS产品用户尽快更新固件。用户需要以管理员身份登录QTS、QuTS hero或QuTScloud,然后转到控制面板>系统>固件更新,在“实时更新”下,单击“检查更新”,系统将自动下载并安装最新的可用更新。
更新myQNAPcloud的操作步骤如下:
以管理员身份登录 QTS、QuTS hero或QuTScloud,打开App Center,打开搜索框,输入搜索“myQNAPcloud”,myQNAPcloud 将出现在搜索结果中,最后单击更新,按提示操作。
如果你是威联通公司NAS产品用户,建议尽快登录威联通官网了解更多细节,尽快安装更新。
不管是中小企业,还是家庭用户,NAS设备里面往往都存储着大量、敏感的数据,所以对于NAS设备的安全问题,大家一定不能掉以轻心,一定要高度重视。
相关文章
