QNAP 修補漏洞進度一拖再拖 研究人員強烈譴責 公開漏洞迫使其儘快修補

【別拖了 ⚠️】資安機構 watchTowr 17 日發表聲明，批評 QNAP 至今仍未修復 1 月向其報告的安全漏洞，修補速度極其緩慢，為了讓 QNAP 正視問題，watchTowr 決定公開漏洞迫其儘快解決問題。

據了解，watchTowr 研究 QNAP NAS 的作業系統，包括 QTS、QuTSCloud 和 QTS hero 等共發現了 15 個嚴重漏洞，其中一個是 2023 年 12 月向 QNAP 公報告，其餘漏洞則是 1 月初報告，但直至 2024 年 5 月 17 日，只有 4 個漏洞已經被修復，6 個漏洞已被 QNAP 確認但未有修復，還有 5 個漏洞 QNAP 完全沒有作出公布。

根據資安業界標準，研究人員會提供 90 天的披露期限，在此時間內不會向公眾透露漏洞詳情，不過 watchTowr 稱 QNAP 得悉漏洞已超過 90 天期限，間期已多次要求延期，對於這些不存在補救障礙的漏洞，廠方仍然一直拖延處理，研究人員決定公開漏洞迫使其儘快修補。

watchTowr 目前已經在 GitHub 上公布了 QNAP NAS 上一個無需身份驗證的堆疊溢位漏洞 (CVE-2024-27130)，只要有效的 NAS 使用者共享惡意文件，就可能導致遠端程式碼執行 (RCE) ，向 QNAP 施壓要求立即正視問題。

QNAP 曾經發生過 Qlocker 及 Deadbolt 等勒索軟件攻擊，按道理應該對關鍵漏洞處理變得更加積極，然而這次事件讓 watchTowr 感到相當震驚，儘管兩方溝通上 QNAP 表現非常合作，但 watchTowr 仍會毫不猶豫地譴責那些忽視 90 天披露期限的供應商，修補漏洞是刻不容緩。