发布编号：TACERT-ANA-2021050309053838

发布时间：2021-05-03 09:41:42

事故类型：ANA-漏洞预警

发现时间：2021-04-28 09:58:40

影响等级：中

 

[主旨说明:]

【漏洞预警】教育部所属机关所使用之资讯设备疑似存在漏洞，允许攻击者建立任意档案于特定路径内，进而执行任意程式码

 

[内容说明:]

转发 国家资安资讯分享与分析中心 NISAC-ANA-202104-1319

本中心接获外部情资，发现教育部所属机关所使用之资讯设备疑似存在漏洞，可能导致远端攻击者可利用漏洞对目标设备建立任意档案至特定路径下，进而执行任意程式码。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

CVE-2020-2509：

所有QNAP设备

CVE-2020-36195：

启用Multimedia Console与Media Streaming Add-on应用程式之QNAP设备

CVE-2021-28798：

TS-112P、TAS-168、TAS-268之QTS 4.3.3.1624 build 20210416以前版本

CVE-2021-28799：

启用HBS 3 Hybrid Backup Sync应用程式之QNAP设备

 

[建议措施:]

目前QNAP官方已针对此漏洞释出更新程式，请各机关联络设备维护厂商进行版本确认并将设备更新至以下版本：

QTS：

QTS 4.5.2.1566 Build 20210202(含)以后版本

QTS 4.5.1.1495 Build 20201123(含)以后版本

QTS 4.3.6.1620 Build 20210322(含)以后版本

QTS 4.3.4.1632 Build 20210324(含)以后版本

QTS 4.3.3.1624 Build 20210416(含)以后版本

QTS 4.2.6 Build 20210327(含)以后版本

QuTS hero：

QuTS hero h4.5.1.1491 build 20201119(含)以后版本

Media Streaming Add-on：

QTS 4.3.6: Media Streaming add-on 430.1.8.8(含)以后版本

QTS 4.3.3: Media Streaming add-on 430.1.8.10(含)以后版本

Multimedia Console：

QTS 4.4.x and later: Multimedia Console 1.3.4(含)以后版本

HBS 3 Hybrid Backup Sync：

QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415(含)以后版本

QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412(含)以后版本

QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419(含)以后版本

QuTScloud c4.5.1~c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419(含)以后版本

 

[参考资料:]

1.Command Injection Vulnerability in QTS and QuTS hero

2.SQL Injection Vulnerability in Multimedia Console and the Media Streaming Add-On

3.Improper Authorization Vulnerability in HBS 3 (Hybrid Backup Sync)

4.威联通NAS遭勒索软件Qlocker攻击，疑似甫修补的重大漏洞惹祸

5.CVE-2020-36195 Detail

6.Change Log

7.漏洞警讯公告

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw