一、背景介绍
近日,市委网信办技术支撑单位监测到有攻击者使用 QNAP 远程命令执行漏洞(CVE-2020-2507)发起攻击。
1.1 漏洞描述
QNAP NAS(Network Attached Storage)是一种网络附加存储设备,由台湾的威联通科技公司制造。它是一种专为家庭和企业用户设计的存储解决方案,允许用户通过网络访问和共享存储空间。
攻击者使用远程命令执行漏洞(CVE-2020-2507)发起攻击,该漏洞 PoC并没有在互联网上公布细节,属于 1DAY 范畴,互联网上也仍有大量未修复漏洞的QNAP NAS 设备。
1.2漏洞编号
CVE-2020-2507
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
QNAP helpdesk < 3.0.3
2.2修复建议
厂商已发布漏洞修复程序:https://www.qnap.com/zh-tw/security-advisory/qsa-20-08